队 的 主 业 是 操作 系统 内 核 开发 。 


我 们 这 个 团 
子 俯 拾 皆 是 。 


虚拟 化 技术 的 源头 可 以 追溯 到 20 世 纪 70 年 代 初 期 |BM 的 S370， 但 直到 2003 征 


车 道 。 在 软件 领域 ， 虚 拟 化 技术 把 VMware 扣 


“太阳 底下 没有 新 鲜 


序 


FEF 的 SOSP 会 议 上 一 篇 关于 


有 ” ， 这 句 话 对 于 操作 系统 来 说 ， 有 着 深刻 的 意义 。 一 个 爆 红 的 技术 ， 寻 根 溯源 ， 你 会 发 现 它 


化 、 存 储 虚 拟 化 这 些 概念 已 经 深入 人 心 。 


而 容器 技术 也 不 是 全 新 的 概念 ， 系 统 容器 最 早 可 以 追溯 到 20 世 纪 80 年 代 初期 的 chroot; 打 着 轻 量 级 虚拟 化 旗号 的 商 


软件 也 是 在 21 世 纪 之 初 由 Virtuoz 


小 圈子 里 口 耳 相传 ， 不 慢 不 火 地 发 


若 将 Docker 的 核心 技术 层 层 列 


展 着 。 直 到 2013 年 ， 有 一 家 叫 作 dotC 


离开 来 分 析 ， 作 为 操作 系统 开发 人 员 


oud 的 小 公司 开源 了 一 个 叫 Do 


: Cgroup (Control Group) 是 Google 在 2006 年 启动 开发 的 ， 算 起 来 也 有 将 近 10 年 的 历史 了 。 


“ 对 于 Namespace， 从 最 早 的 Mount namespace 算 起 ， 不 断 和 迭代 到 今天 ， 已 成 为 包括 UTS (系统 标识 ) 


标识 ) 等 的 技术 ， 可 谓 洋洋 大 观 。 


， 我 们 是 无 法 理解 Docker 为 什么 会 爆发 成 为 行业 里 的 新 星 的 。 因 


cker 的 小 项 目 


、IPC (进程 间 通 、PID (进程 标识 ) 


信 ) 


:Aufs 的 历史 可 以 追溯 到 1993 年 的 Inheriting File System， 虽 然 Aufs 没 有 进入 Linux 主 线 ， 但 也 已 经 在 Debian、Gentoo 这 样 的 主流 发 行 版 中 得 到 应 用 。 


这 些 “ 大 叔 辈 ”的 


为 什么 会 这 样 ? 这 个 疑问 促使 我 们 摘 下 操作 系统 开发 人 员 的 帽子 ， 带 上 系统 运 维 人 员 的 帽子 ， 带 上 应 


在 这 个 角色 转换 的 


技术 ， 通 过 Docker 引 擎 的 组 合 ， 焕 发 出 “小 鲜 肉 ”的 吸引 力 。 而 从 另 一 个 方 


H 


和 外， 


了 些 在 技术 和 理念 上 更 先进 的 项 


习 


过 程 中 ， 我 们 得 到 了 很 多 的 收获 : 


首先 ， 我 们 代表 国 


利 


如 果 读 者 在 阅读 本 书 和 实践 后 ， 不 仅 知 其 


因为 换 了 一 个 角度 ， 对 这 个 技术 兴起 背后 的 原 


内 的 技术 人 为 Docker 社 区 做 出 了 一 些 贡献 ， 此 为 收获 一 。 


因 有 了 更 深刻 的 理解 ， 此 为 收获 二 。 


工作 之 余 ， 将 技术 经 验 转化 为 文字 ， 把 容器 技术 传播 给 更 广泛 的 受众 ， 此 为 收获 三 。 


而 且 知 其 所 以 然 ， 并 与 我 们 一 同 把 容器 技术 的 发 


是 以 为 序 ! 


为 什么 要 写 这 本 书 


在 计算 机 技术 日 新 月 异 的 今天 ，Docker 也 算是 其 中 异常 璀璨 的 一 员 了 。 它 的 生态 


Docker 在 国内 的 发 


Ea 


展 如 火 如 茶 ， 短 短 一 两 年 时 间 里 就 陆续 出 现 了 一 批 关于 Docker 


实践 经 验 总 结 出 来 分 享 给 广大 开发 者 。 除 了 吸引 


关于 本 书 


图 


性 


开发 者 的 帽子 ， 换 个 角度 审视 自己 从 前 的 工作 。 


展 推 向 下 一 个 阶段 ， 那 可 以 算是 最 大 的 收获 了 。 


囊 


入 门 和 具体 的 应 


,本 书 


目前 市 场 已 经 有 一 些 不 错 的 Docker 入 门 
块 、 关 系 和 原理 进行 系统 梳理 ， 帮 


一 般 的 Docker 


本 书 不 仅 适 合 


本 书 是 由 华为 整个 Docker 团 队 合作 完成 的 ， 


本 书 的 内 


天 


本 书 的 定位 是 有 一 定 Docker 基 础 的 读者 ， 所 以 在 基本 的 概念 和 使 


内 


内 


章节 的 


另外 ， 本 书 的 笔者 都 是 一 线 的 开发 者 和 Docker 社 区 活跃 的 贡献 者 ， 
引 了 越 来 越 多 的 人 的 关注 。Docker 集 群 管理 和 生态 圈 的 介绍 也 将 作为 本 书 重点 章节 详细 讲解 。 此 外 ，Docker 测 试 也 是 比较 有 特色 的 内 容 ， 


书 ， 但 多 侧重 了 
协 读 者 对 Docker 加 深 认识 ， 更 好 地 应 


户 ， 也 适合 Docker 生 态 圈 中 的 


容 上 ， 除 了 对 Docker 进 行 系统 的 梳理 外 ， 同 时 还 会 对 Docker 背 


的 创业 公司 。 华 为 公司 作为 


介绍 一 些 Docker 关 键 


源 领 域 的 领导 者 ， 对 Docker 也 有 和 


国 


内 


笔者 包括 (排名 不 分 先后 ) : 邓 广 兴 、 


发 者 ， 希 望 它 可 以 成 为 一 本 Docker 进 阶 的 


胡 科 平 、 胡 欣 蔚 、 黄 强 、 雷 继 常 、 李 泽 帆 、 凌 发 科 、 刘 华 、 


图 


书 ， 帮 助 读者 快速 提升 。 


孙 远 、 


上 ， 我 们 不 会 花 过 多 的 篇 幅 讲 


铎 ， 而 是 给 出 相应 有 价值 的 链接 ， 作 为 读者 的 延伸 阅 


后 的 核心 技术 ( 即 容器 技术 ) 


及 其 历史 进行 介绍 ， 


虚拟 化 的 论文 《Xen and the Art of Virtualization》 引 起 广泛 关注 之 后 ， 虚 拟 化 才 走 上 发 
造成 400 亿 美元 量 级 的 行业 明星 ， 又 在 硬件 领域 搅动 了 CPU、 网 络 、 存 储 等 各 个 市 场 ， 迫 使 市 场 上 的 行业 领袖 做 出 相应 的 创新 。 现 在 ,计算 虚拟 化 、 网 络 虚 拟 


为 严格 来 说 ，Docker, 


、Netwotk (网 络 设备 、IP 地 址 以 及 路 由 表 ) 


往往 已 经 在 操作 系统 里 潜伏 很 久 。 这 种 例 


展 的 快 


提出 的 。 但 当时 这 个 技术 只 是 在 系统 管理 员 的 


ZO: 


的 所 有 关键 技术 都 早已 存在 : 


、User (用 户 


， 比 如 OSv， 反 而 远 没有 得 到 这 种 众 星 捧 月 般 的 待遇 。 


华为 2012 实 验 室 操作 系统 专家 ” 胡 欣 府 


2015 年 11 月 


涉及 内 核 、 操 作 系统 、 虚 拟 化 、 云 计算 、DevOps 等 热门 领域 ， 受 众 群体 也 在 不 断 扩 大 。 


民 大 的 投入 ， 我 们 认为 有 必要 把 自己 的 知识 积累 和 


更 多 的 人 投入 到 Docker 的 生态 建设 以 外 ， 我 们 也 希望 通过 本 书 帮 助 更 多 的 读者 更 好 、 更 快 地 掌握 Docker 关 键 技术 。 


支 术 原理 和 高 级 使 用 技巧 ， 适 合 有 一 定 基础 的 读者 。 另 外 ， 本 书 会 对 Docker 涉 及 的 各 个 模 
Docker 部 署 生产 环境 ， 最 大 程度 安全 有 效 地 发 挥 Docker 的 价值 。 


谢 可 杨 、 杨 书 奎 、 张 伟 、 张 文 涛 、 邹 钰 。 


读 。 


进一步 帮助 读者 更 好 地 理解 Docker。 


虽然 各 


章节 划分 则 以 功能 模块 为 粒度 ， 对 每 一 个 重要 的 模块 进行 了 深入 分 析 和 讲解 ， 同 时 也 为 热门 领域 单独 开辟 了 
容 相对 独立 ， 但 也 会 有 一 些 穿插 的 介绍 和 补充 ， 以 帮助 读者 融会 贯通 ， 系 统 深入 地 理解 Docker 的 每 一 个 细节 。 


节 。 在 每 一 章 的 最 后 都 会 讲解 一 些 高 级 


因此 书 中 还 专门 准备 了 一 个 


Docker 相 关 信 息 ， 可 供 读者 需要 时 查询 。 


本 书 的 内 容 和 代码 都 是 基于 Docker 1.8 版 本 的 。 在 代码 示例 中 ， 使 有 


节 来 介绍 参与 Docker 


发 的 流程 和 经 验 。 同 时， 伴随 Docker 的 


5 或 实际 应 用 中 遇 到 的 问题 。 


法 、 使 


发 展 ，Docker 生 态 圈 也 在 不 断 扩大 并 吸 


“#” 开 头 的 命令 表示 以 roo 


{用户 执行 ， 以 “$” 开 头 的 命令 表示 以 普通 


》 享 了 笔者 在 测试 方面 


的 经 验 。 最 后 ， 附 录 中 所 包含 的 常用 的 


户 执 行 。 


勘误 和 支持 
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第 1 章 ”Docker 简 介 


1.1 引言 


1.1.1 ”Docker 的 历史 和 发 展 


自从 2013 年 年 初 一 个 叫 dotCloud 的 Paas 服 务 供应 商 将 一 个 内 部 项 目 Docker 开 源 之 后 ， 这 个 名 字 在 短 短 几 年 内 就 迅速 成 为 一 个 热 词 。 似 乎 一 夜 之 间 ， 人 人 都 开始 谈论 Docker， 以 至 于 这 家 公司 干脆 出 
售 了 其 所 持 有 的 PaaS 平 台 业 务 ， 并 且 改 名 为 Docker.Inc， 从 而 专注 于 Docker 的 开发 和 推广 。 


对 于 Docker， 目 前 的 定义 是 一 个 开源 的 容器 引擎 ， 可 以 方便 地 对 容器 (关于 容器 ， 将 在 第 2 章 详细 介绍 ) 进行 管理 。 其 对 镜像 的 打包 封装 ， 以 及 引入 的 Docker Registry 对 镜像 的 统一 管理 ， 构 建 了 方便 
快捷 的 “Build，Ship and Run” 流 程 ， 它 可 以 统一 整个 开发 、 测 试 和 部 署 的 环境 和 流程 ， 极 大 地 减少 运 维 成 本 。 另 外 ， 得 益 于 容器 技术 带 来 的 轻 量 级 虚拟 化 ， 以 及 Docker 在 分 层 镜像 应 用 上 的 创 
新 ，Docker 在 磁盘 占用 、 性 能 和 效率 方面 相 较 于 传统 的 虚拟 化 都 有 非常 明显 的 提高 ， 所 以 理所当然 ，Docker 开 始 不 断 重 食 传统 虚拟 化 的 市 场 。 


随 着 Docker 技 术 的 迅速 普及 ，Docker 公 司 持续 进行 融资 ， 并 且 其 估 值 也 在 不 断 攀升 ， 同 时 ，Docker 公 司 也 在 不 断 地 完善 Docker 生 态 圈 ， 这 一 切 使 得 Docker 正 慢 慢 成 为 轻 量 级 虚拟 化 的 代名词 。 在 可 
预见 的 未 来 ， 很 可 能 需要 不 断 地 刷新 对 Docker 的 定义 。 


目前 Docker 已 加 入 Linux 基 金 会 ， 遵 循 Apache 2.0 协 议 ， 其 代码 托管 于 [Github] (https://github.com/docker/docker) 。 


第 1 章 ”Docker 简 介 


1.1 引言 


1.1.1 ”Docker 的 历史 和 发 展 


自从 2013 年 年 初 一 个 叫 dotCloud 的 PaaS 服 务 供应 商 将 一 个 内 部 项 目 Docker 开 源 之 后 ， 这 个 名 字 在 短 短 几 年 内 就 迅速 成 为 一 个 热 词 。 似 乎 一 夜 之 间 ， 人 人 都 开始 谈论 Docker， 以 至 于 这 家 公司 干脆 出 
售 了 其 所 持 有 的 PaaS 平 台 业务 ， 并 且 改 名 为 Docker.Inc， 从 而 专注 于 Docker 的 开发 和 推广 。 


对 于 Docker， 目 前 的 定义 是 一 个 开源 的 容器 引擎 ， 可 以 方便 地 对 容器 (关于 容器 ， 将 在 第 2 章 详细 介绍 ) 进行 管理 。 其 对 镜像 的 打包 封装 ， 以 及 引入 的 Docker Registry 对 镜像 的 统一 管理 ， 构 建 了 方便 
快捷 的 “Build，Ship and Run” 流 程 ， 它 可 以 统一 整个 开发 、 测 试 和 部 署 的 环境 和 流程 ， 极 大 地 减少 运 维 成 本 。 另 外 ， 得 益 于 容器 技术 带 来 的 轻 量 级 虚拟 化 ， 以 及 Docker 在 分 层 镜像 应 用 上 的 创 
新 ，Docker 在 磁盘 占用 、 性 能 和 效率 方面 相 较 于 传统 的 虚拟 化 都 有 非常 明显 的 提高 ， 所 以 理所当然 ，Docker 开 始 不 断 生食 传统 虚拟 化 的 市 场 。 


随 着 Docker 技 术 的 迅速 普及 ，Docker 公 司 持续 进行 融资 ， 并 且 
预见 的 未 来 ， 很 可 能 需要 不 断 地 刷新 对 Docker 的 定义 。 


估 值 也 在 不 断 欧 升 ， 同 时 ，Docker 公 司 也 在 不 断 地 完善 Docker 生 态 圈 ， 这 一 切 使 得 Docker 正 慢 慢 成 为 轻 量 级 虚拟 化 的 代名词 。 在 可 


目前 Docker 已 加 入 Linux 基 金 会 ， 遵 循 Apache 2.0 协 议 ， 其 代码 托管 于 [Github] (https://github.com/docker/docker) 。 


1.2 ”功能 和 组 件 


Docker 为 了 实现 其 所 描述 的 酷 炫 功能 ， 引 入 了 以 下 核心 概念 : 
“ Docker 客 户 端 

* Docker daemon 

“ Docker 容 器 


'， Docker 镜 像 


* Registry 


下 面 就 分 别 来 简单 地 介绍 一 下 。 


1.3 ”安装 和 使 用 


1.3.1 ” ”Docker 的 安装 


Docker 的 安装 和 使 用 有 一 些 前 提 条 件 ， 主 要 体现 在 体系 架构 和 内 核 的 支持 上 。 对 于 体系 架构 ， 除 了 Docker 一 开始 就 支持 的 x86-64， 其 他 体系 架构 的 支持 则 一 直 在 不 断 地 完善 和 推进 中 ， 用 户 在 安装 前 
需要 到 Docker 官 方 网 站 查看 最 新 的 支持 情况 。 对 于 内 核 ， 目 前 官方 的 建议 是 3.10 以 上 的 版 本 ， 除 了 内 核 版 本 以 外 ，Docker 对 于 内 核 支持 的 功能 ， 即 内 核 的 配置 选项 也 有 一 定 的 要 求 (比如 必须 开启 Cgroup 
和 Namespace 相 关 选 项 ， 以 及 其 他 的 网 络 和 存储 驱动 等 ) 。 如 果 你 使 用 的 是 主流 的 发 行 版 ， 那 通常 它们 都 已 经 打开 了 ， 如 果 使 用 的 是 定制 化 的 内 核 ，Docker 源 码 中 提供 了 一 个 检测 脚本 (目前 的 路 径 
是 ./contrib/check-config.sh) 来 检测 和 指导 内 核 的 配置 。 


在 满足 前 提 条 件 后 ， 安 装 就 非常 的 简单 了 ， 对 于 多 数 主 流 的 发 行 版 ， 通 常 只 需要 一 条 简单 的 命令 即 可 完成 安装 ， 比 如 在 Ubuntu 下 ， 可 以 使 用 如 下 命令 安装 : 


$ sudo apt-get install docker.io 


当然 ， 实 际 情况 可 能 会 相对 复杂 些 ， 比 如 ， 虽 然 Ubuntu 中 通常 自 带 了 Docker， 但 用 户 常常 需要 使 用 最 新 版 本 的 Docker， 以 至 于 不 得 不 对 其 进行 升级 。 对 于 安装 和 升级 ， 以 及 不 同 发 行 版 上 的 操作 方 
法 ,官方 网 站 上 提供 了 更 加 详细 的 说 明 ， 本 书 不 做 过 多 的 歼 述 ， 下 面 的 链接 给 出 了 常用 发 行 版 的 安装 方法 : 


* [Ubuntu] (http://docs.docker.com/installation/ubuntulinux/) 
* [Fedora] (http://docs.docker.com/installation/fedora/ ) 

* [Debian] (http://docs.docker.com/installation/debian/) 

* [Centos] (http://docs.docker.com/installation/centos/) 

* [Gentoo] (http://docs.docker.com/installation/gentoolinux/) 

* [Arch Linux] (http://docs.docker.com/installation/archlinux/) 


* [Windows] (http://docs.docker.com/installation/windows/) 


* [Mac OS X] (http://docs.docker.com/installation/mac/) 


另外 ， 用 户 也 可 以 直接 获取 Docker binary 来 运行 ，http://docs.docker.com/installation/binaries/ 网 址 介绍 了 获取 的 方法 。 虽 然 这 样 更 简单 ， 但 还 是 推荐 使 用 完整 安装 的 方式 ， 因 为 通过 软件 包 安装 
的 Docker， 除 了 有 可 执行 文件 之 外 ， 还 包括 了 Shell 自 动 完 成 脚本 、man 手 册 、 服 务 运 行 和 配置 脚本 等 内 容 ， 可 以 帮助 用 户 更 好 地 配置 和 使 用 Docker。 


ja 示 


Docker 还 有 一 些 其 他 更 方便 的 安装 方式 ， 这 将 在 后 面 的 章节 中 详细 介绍 。 


NS 人 全 
1.4 相 念 澄清 


本 书 的 附录 A 是 关于 Docker 常 见 问题 的 解答 ， 但 对 于 Docker 基 本 概念 方面 的 问题 ， 希 望 读者 可 以 在 阅读 完 本 章 后 就 有 清晰 的 认识 ， 所 以 本 节 会 针对 与 Docker 概 念 息息相关 的 几 个 常见 问题 进行 说 明 。 


1.5 本章 小 结 


本 章 对 Docker 的 基本 概念 、 组 成 和 使 用 方法 做 了 介绍 ， 使 读者 对 Docker 有 一 个 整体 的 认识 ， 后 续 的 章节 会 对 本 章 提 到 的 内 容 展开 更 详细 的 讲解 ， 让 读者 对 Docker 有 全 面 且 细致 的 理解 。 


第 2 章 ”关于 容器 技术 


在 第 1 章 对 Docker 的 介绍 中 ， 已 经 知道 容器 技术 是 Docker 的 一 项 基础 技术 ， 而 在 当前 对 Docker 的 火热 讨论 中 ， 容 器 也 时 常 跟 Docker 一 起 被 提 及 。 作 为 Docker 的 进 阶 书籍 ， 有 必要 对 容器 技术 做 一 些 探 
讨 ， 以 深刻 理解 Docker 与 相关 技术 之 间 的 关联 。 


2.1 ”容器 技术 的 前 世 今生 


2.1.1 关于 容器 技术 


容器 技术 ， 又 称 为 容器 虚拟 化 ， 从 字面 上 看 它 首先 是 一 种 虚拟 化 技术 。 在 如 今 的 技术 浪潮 下 ， 虚 拟 化 技术 层出不穷 ， 包 括 硬件 虚拟 化 、 半 虚拟 化 、 操 作 系 统 虚 拟 化 等 。 本 书 不 会 对 虚拟 化 技术 展开 介 
绍 ， 只 需要 知道 容器 虚拟 化 是 一 种 操作 系统 虚拟 化 ， 是 属于 轻 量 级 的 虚拟 化 技术 即 可 。 又 因为 在 实现 原理 上 ， 每 一 种 虚拟 化 技术 之 间 都 有 较 大 的 差别 ， 所 以 即使 没有 虚拟 化 的 技术 背景 ， 也 是 可 以 单独 来 学 
习 容 器 虚拟 化 的 。 


容器 技术 之 所 以 受 欢 迎 ， 一 个 重要 的 原因 是 它 已 经 集成 到 了 Linux 内 核 中 ， 已 经 被 当 作 Linux 内 核 原生 提供 的 特性 。 当 然 在 其 他 平台 上 也 有 相应 的 容器 技术 ， 但 本 书 讨论 的 以 及 Docker 涉 及 的 都 是 指 
Linux 平 台 的 容器 技术 。 


对 于 容器 ， 目 前 并 没有 一 个 严格 的 定义 ， 但 普遍 认可 的 说 法 是 ， 它 首先 必须 是 一 个 相对 独立 的 运行 环境 ， 在 这 一 点 上 ， 有 点 类 似 虚 拟 机 的 概念 ， 但 又 没有 虚拟 机 那样 彻底 。 另 外 ， 在 一 个 容器 环境 内 ， 
应 该 最 小 化 其 对 外 界 的 影响 ， 比 如 不 能 在 容器 中 把 host 上 的 资源 全 部 消耗 掉 ， 这 就 是 资源 控制 。 


一 般 来 说 ， 容 器 技术 主要 包括 Namespace 和 Cgroup 这 两 个 内 核 特性 。 


: Namespace 又 称 为 命名 空间 (也 可 翻译 为 名 字 空 间 ) ， 它 主要 做 访问 隔离 。 其 原理 是 针对 一 类 资源 进行 抽象 ， 并 将 其 封装 在 一 起 提供 给 一 个 容器 使 用 ， 对 于 这 类 资源 ， 因 为 每 个 容器 都 有 自己 的 抽象 ， 
而 它们 彼此 之 间 是 不 可 见 的 ， 所 以 就 可 以 做 到 访问 隔离 。 


:Cgroup 是 control group 的 简称 ， 又 称 为 控制 组 ， 它 主要 是 做 资源 控制 。 其 原理 是 将 一 组 进程 放 在 一 个 控制 组 里 ， 通 过 给 这 个 控制 组 分 配 指定 的 可 用 资源 ， 达 到 控制 这 一 组 进程 可 用 资源 的 目的 。 


实际 上 ，Namespace 和 Cgroup 并 不 是 强 相关 的 两 种 技术 ， 用 户 可 以 根据 需要 单独 使 用 它们 ， 比 如 单独 使 用 Cgroup 做 资源 控制 ， 就 是 一 种 比较 常见 的 做 法 。 而 如 果 把 它们 应 用 到 一 起 ， 在 一 个 
Namespace 中 的 进程 恰好 又 在 一 个 Cgroup 中 ， 那 么 这 些 进程 就 既 有 访问 隔离 ， 又 有 资源 控制 ， 符 合 容器 的 特性 ， 这 样 就 创建 了 一 个 容器 。 


对 于 Namespace 和 Cgroup， 后 面 的 章节 会 做 详细 的 介绍 。 


2.2 一 分 钟 理解 容器 


2.2.1 ”容器 的 组 成 


上 文 已 多 次 提 及 ， 容 器 的 核心 技术 是 Cgroup+ Namespace， 但 光 有 这 两 个 抽象 的 技术 概念 是 无 法 组 成 一 个 完整 的 容器 的 。 在 2.1.2 节 也 提 到 过 最 早 的 容器 概念 就 包括 了 对 文件 目录 视图 的 抽象 隔离 ， 而 
所 有 的 这 一 切 ， 都 需要 有 工具 来 驱动 ， 需 要 有 一 个 工具 来 提供 用 户 可 操作 的 接口 ， 来 创建 一 个 容器 。 所 以 笔者 认为 ， 对 于 Linux 容 器 的 最 小 组 成 ， 可 以 由 以 下 公式 来 表示 : 


容器 =cgroup+namespace+tootfs 二 容器 引擎 (用户 态 工具 ) 


其 中 各 项 的 功能 分 别 为 : 

. Cgroup: 资源 控制 。 

. Namespace: 访问 隔离 。 
-rootfs: 文件 系统 隔离 。 

. 容器 引擎 : 生命 周期 控制 。 


目前 市 场 上 所 有 Linux 容 器 项 目 都 包含 以 上 组 件 。 


2.3 Cgroup 介 绍 


2.3.1 Cgroup 是 什么 


Cgroup 是 control group 的 简写 ， 属 于 Linux 内 核 提供 的 一 个 特性 ， 用 于 限制 和 隔离 一 组 进程 对 系统 资源 的 使 用 ， 也 就 是 做 资源 QoS， 这 些 资源 主要 包括 CPU、 内 存 、block I/O 和 网 络 带 宽 。Cgroup 
从 2.6.24 开 始 进入 内 核 主 线 ， 目 前 各 大 发 行 版 都 默认 打开 了 Cgroup 特 性 。 


从 实现 的 角度 来 看 ，Cgroup 实 现 了 一 个 通用 的 进程 分 组 的 框架 ， 而 不 同 资源 的 具体 管理 则 是 由 各 个 Cgroup 子 系统 实现 的 。 截 止 到 内 核 4.1 版 本 ，Cgroup 中 实现 的 子 系 统 及 其 作用 如 下 : 


“devices: 设备 权限 控制 。 

“ cpuset: 分 配 指 定 的 CPU 和 内 存 节点 。 

“ cpu; 控制 CPU 占用 率 。 

“ cbuacct: 统计 CPU 使 用 情况 。 

: memory: 限制 内 存 的 使 用 上 限 。 

. freezer: 冻结 (暂停 ) Cgroup 中 的 进程 。 
net_cls: 配合 tc (traffic controller) 限制 网 络 带 宽 。 
“ net_prio; 设置 进程 的 网 络 流量 优先 级 。 

“ huge_tlb: 限制 HugeTLB 的 使 用 。 


“ perf_event: 允许 Perf 工 具 基 于 Cgroup 分 组 做 性 能 监测 。 


在 Cgroup 出 现 之 前 ， 只 能 对 一 个 进程 做 一 些 资源 控制 ， 例 如 通过 sched_setaffinity 系 统 调 用 限定 一 个 进程 的 CPU 亲 和 性 ,或 者 用 ulimit 限 制 一 个 进程 的 打开 文件 上 限 、 栈 大 小 等 。 另 外 ， 使 用 ulimit 可 


以 对 少数 资源 基于 用 户 做 资源 控制 ， 例 如 限制 一 个 用 户 能 创建 的 进程 数 。 而 Cgroup 可 以 对 进程 进行 任意 的 分 组 ， 如 何 分 组 是 用 户 自 定义 的 ， 例 如 安 卓 的 应 用 分 为 前 台 应 用 和 后 台 应 用 ， 前 台 应 用 是 直接 跟 


0 


响应 速度 快 ， 


户 交互 的 ， 需 


@ia 示 


因此 前 台 应 


;土生 


对 资源 的 


时 病 


得 到 更 多 的 保证 。 为 此 安 卓 将 前 台 应 


和 后 台 应 


从 1.6 版 本 开始 ，Docker 也 支持 ulimit， 读 者 可 以 查阅 相关 Docker 文 档 及 Linux 用 户 手册 。 


2.4 Namespace 介 绍 


2.4.1 Namespace 是 什么 


Namespace 是 将 内 核 的 全 局 资源 做 封装 ， 使 得 每 个 Namespace 都 有 一 份 独立 的 资源 ， 


这 样 的 解释 可 能 不 清楚 ， 


同 的 UTS Namespace 中 ， 在 某 个 Namespace 修 改 3 


目前 Linux 内 核 总 共 实 现 了 6 种 Namespace: 


IPC: 隔离 System V IPC 和 POSIX 消 息 队 列 。 


Network: 隔离 网 络 资源 。 

“ Mount: 隔离 文件 系统 挂 载 点 。 
“ PID: 隔离 进程 ID。 

“UTS: 隔离 主机 名 和 域名 。 


“ User: 隔离 用 户 ID 和 组 ID。 


2.5 ”容器 造就 Docker 


关于 容器 是 否 是 Docker 的 核心 技术 ， 业 界 一 直 存 在 着 人 
店 ”提供 了 可 能 ， 而 这 将 会 是 颠覆 传统 行业 的 举措 。 寻 
另外 ，Docker 官 方 对 Docker 核 心 功能 的 描述 “Build，Ship and Run” 中 也 确实 没有 体现 与 容器 强 相关 


划分 到 不 同 的 Cgroup 中 ， 并 且 对 放置 前 台 应 


举 个 例子 ,执行 Sethostname 这 个 系统 调 
机 名 时 ， 另 一 个 Namespace 的 3 


尽管 如 此 ， 笔 者 依然 认为 容器 是 Docker 的 核心 技术 之 一 。 


首先 从 Docker 的 诞生 历史 上 ， 它 主要 是 为 了 完善 当时 不 慢 不 火 的 容器 项 
所 以 可 以 说 ，Docker 是 为 容器 而 生 的 。 


另外 ， 更 重要 的 一 点 ， 跟 Docker 一 起 发 
心 优 势 是 跟 内 核 的 无 颖 融合 ， 其 在 运行 效率 上 的 优势 和 极 小 的 系统 开销 ， 与 需 
性 上 的 短 板 。 所 以 ， 未 来 在 微服 务 的 设计 哲学 下 ， 容 器 必 将 跟 Docker 一 起 得 到 更 加 广泛 的 应 


在 理解 了 容器 ， 理 解 了 容器 的 核心 技术 Cgroup 和 Namespace， 理 解 了 容器 技术 如 何 巧妙 且 轻 量 地 实现 “容器 ”本 身 的 资源 控制 和 访问 
与 其 说 是 容器 造就 了 Docker， 不 如 说 是 它们 造就 了 彼此 ， 容 器 技术 让 Docker 得 到 更 多 的 应 用 和 推广 ，Docker 也 使 得 容器 技术 被 更 多 人 熟知 。 在 可 
展 ， 在 全 新 的 解决 方案 和 生态 系统 中 扮演 着 本 


的 关系 ， 它 们 不 是 唯一 的 搭配 ， 但 一 定 是 最 完美 的 组 合 。 
预见 的 未 来 ， 它 们 也 一 定 会 彼此 促进 ， 共 同 发 


2.6 ”本 章 小 结 


本 章 对 容器 技术 做 了 详细 的 剖析 ， 相 信 读 者 已 经 对 容器 的 概念 和 原理 有 了 清晰 的 认识 ， 在 这 样 的 基础 之 上 ， 可 以 更 加 轻松 和 深刻 地 理解 Docker 的 一 系列 技术 了 ， 接 下 来 的 章节 : 


子 系统 做 详细 的 介绍 。 


Docker 所 宣称 的 
境 依赖 的 问题 ， 通 过 3 引 


本 章 主要 介绍 Docker image 的 使 有 


Docker image 相 关 的 一 些 扩展 知识 。 


时 ， 可 以 改变 系统 的 


此 不 同 的 进程 在 各 


自 的 Namespace 内 对 同一 种 资源 的 使 


会 互相 干扰 。 


机 名 ， 这 个 : 


议 。 有 人 认为 Docker 的 核心 技术 是 对 分 层 镜像 的 创新 使 用 ， 有 人 认为 其 
有 实 上 ， 这 一 系列 创新 并 不 是 依赖 于 容器 技术 的 


机 名 还 是 保持 不 变 。 


， 基 于 传统 的 hypervisor 也 可 以 做 到 ， 业 界 也 
的 内 容 。 


LNXC， 


使 有 


展 和 被 大 家 熟知 的 ， 还 有 叫做 “微服 务 “ 


(micro service) 的 设计 哲学 ， 而 这 会 : 


户 可 以 更 方便 


[= 
各 


用 容器 ， 让 容器 可 以 更 好 地 应 上 


将 各 个 组 件 和 


站 独 部 团 的 微服 务 应 


完美 融合 。 而 且 微 服务 在 


入 分 层 文件 系统 这 种 概念 ， 


和 相关 技术 细节 。 其 中 3.1 节 介绍 Docker image 的 基本 概 


户 可 以 随心 所 欲 地 “Build、Sship and Run” 应 


解决 了 空间 利 


和 发 


虑 。 


要 的 角色 。 


第 3 章 “理解 Docker 镜 像 


的 能 力 ， 其 


AS 


we 


核心 是 由 Docker image (Docker 镜 像 ) 来 支撑 的 。Docker 通 过 把 应 上 
的 问题 。 它 彻底 消除 了 编译 、 打 包 与 部 署 、 运 维 之 间 的 鸿沟 ， 与 现在 互联 网 企业 推崇 的 DevOps 理 念 不 谋 而 合 ， 大 大 提高 了 应 


3.2 节 从 image 生 命 周期 的 角度 介绍 其 使 


的 Cgroup 配 置 了 较 高 的 系统 资源 限额 。 


机 名 就 是 一 个 内 核 的 全 局 资源 。 内 核 通过 实现 UTS Namespace， 可 以 将 不 同 的 进程 分 隔 在 不 


核心 是 统一 了 应 用 的 打包 分 发 和 部 署 方式 ， 为 服务 器 级 别 的 “应 用 商 
由 此 诞生 了 一 些 开 源 项 目 ， 比 如 Hyper、Clear Linux 等 。 


到 项 目 开 发 和 部 署 的 各 个 流程 中 。 从 一 开始 LXC 就 是 Docker 上 的 


容器 的 优势 发 挥 得 更 加 淋漓 尽 致 。 容 器 作为 Linux 平 台 的 轻 量 级 虚拟 化 ， 其 核 
电离 性 问题 上 更 加 可 控 ， 这 也 避免 了 容器 相对 传统 虚拟 化 在 隔离 


电离 之 后 ， 可 以 看 到 Docker 和 容器 是 一 种 完美 的 融合 和 相辅相成 


会 针对 Docker 中 的 各 个 


的 运行 时 环境 和 应 上 


打包 在 一 起 ， 解 决 了 部 署 环 


开发 部 署 


方法 ; 3.3 节 介绍 Docker image 的 组 织 结构 ;3.4 节 介绍 


3.1 ”Docker image 概 念 介绍 


简单 地 说 ，Docker image 是 用 来 启动 容器 的 只 读 模板 ， 是 容器 启动 所 需要 的 rootfs， 类 似 于 虚拟 机 所 使 用 的 镜像 。 首 先 需要 通过 一 定 的 规则 和 方法 表示 Docker image， 如 图 3-1 所 示 。 


司 3-1 是 典型 的 Docker 镜 像 的 表示 方法 ， 可 以 看 到 其 被 “/” 分 为 了 三 个 部 分 ， 其 中 每 部 分 都 可 以 类 比 Github 中 的 概念 。 下 面 按照 从 左 到 右 的 顺序 介绍 这 几 个 部 分 以 及 相关 的 一 些 重要 概念 。 


Remote-dockerhub.com/namespace/bar:latest 


/vt 


Remote Image hub Namespace Repository Tag 


图 3-1 Docker 镜 像 的 典型 表示 法 


“ Remote docker hub: 集中 存储 镜像 的 Web 服 务 器 地 址 。 该 部 分 的 存在 使 得 可 以 区 分 从 不 同 镜像 库 中 拉 取 的 镜像 。 若 Docker 的 镜像 表示 中 缺少 该 部 分 ， 说 明 使 用 的 是 默认 镜像 库 ， 即 Docker 官 方 镜像 库 。 
“ Namespace: 类 似 于 Github 中 的 命名 空间 ， 是 一 个 用 户 或 组 织 中 所 有 镜像 的 集合 。 

“ Repository: 类 似 于 Git 仓 库 ， 一 个 仓库 可 以 有 多 个 镜像 ， 不 同 镜像 通过 tag 来 区 分 。 

"Tag: 类 似 Git 仓 库 中 的 tag， 一 般 用 来 区 分 同一 类 镜像 的 不 同 版 本 。 

' Layer: 镜像 由 一 系列 层 组 成 ， 每 层 都 用 64 位 的 十 六 进 制 数 表示 ， 非 常 类 似 于 Git 仓 库 中 的 commit。 


“ Image ID: 镜像 最 上 层 的 layerID 就 是 该 镜像 的 ID，Repo: tag 提 供 了 易于 人 类 识别 的 名 字 ， 而 ID 便于 脚本 处 理 、 操 作 镜像 。 


镜像 库 是 Docker 公 司 最 先 提 出 的 概念 由， 非常 类 似 应 用 市 场 的 概念 。 用 户 可 以 发 布 自己 的 镜像 ， 也 可 以 使 用 别人 的 镜像 。Docker 开 源 了 镜像 存储 部 分 的 源 代码 (Docker Registry 以 及 
Distribution) ， 但 是 这 些 开 源 组 件 并 不 适合 独立 地 发 挥 功 能 ， 需 要 使 用 Nginx 等 代理 工具 添加 基本 的 鉴 权 功能 ， 才 能 搭建 出 私有 镜像 仓库 。 本 地 镜像 则 是 已 经 下 载 到 本 地 的 镜像 ， 可 以 使 用 docker images 
等 命令 进行 管理 。 这 些 镜像 默认 存储 在 /var/lib/docker 路 径 下 ， 该 路 径 也 可 以 使 用 docker daemon-g 参 数 在 启动 Daemon 时 指定 。 


@ia 示 


Docket 的 镜像 已 经 支持 更 多 层级 ， 比 如 用 户 的 命名 空间 之 前 可 以 包含 组 织 (Remote-dockerhub.com/group/namespace/bar: latest) 。 但 是 目前 Docker 官 方 的 镜像 库 还 不 具备 该 能 力 。 


[1] 见 https://hub.docker.com。 


3.2 使 用 Docker image 


Docker 内 嵌 了 一 系列 命令 制作 、 管 理 、 上 传 和 下 载 镜像 。 可 以 调用 REST API 给 Docker daemon 发 送 相关 命令 ， 也 可 以 使 用 client 端 提供 的 CLI 命 令 完成 操作 。 本 书 的 第 7 章 会 详细 阐述 Docker REST 
API 的 细节 ， 本 节 则 主要 根据 功能 对 涉及 image 的 命令 进行 说 明 。 下 面 就 从 Docker image 的 生命 周期 角度 说 明 Docker image 的 相关 使 用 方法 。 


3.3 Docker image 的 组 织 结构 


上 节 讲 到 Docker image 是 用 来 启动 容器 的 只 读 模板 ， 提 供 容器 启动 所 需要 的 rootfs， 那 么 Docker 是 怎么 组 织 这 些 数据 的 呢 ? 


3.4 ”Docker image 扩 展 知识 


cgroup 和 Namespace 等 容器 相关 技术 已 经 存在 很 久 ， 在 VPS、Paas 等 领域 也 有 很 广泛 的 应 用 ， 但 是 直到 Docker 的 出 现 才 真正 把 这 些 技术 带 入 到 大 众 的 视野 。 同 样 ，Docker 的 出 现 才 让 我 们 发 现 原来 
可 以 这 样 管理 镜像 ， 可 以 这 样 炊 合 老 技 术 以 适应 新 的 需求 。Docker 引 入 联合 挂 载 技 术 (Union mount) 使 镜像 分 层 成 为 可 能 ; 而 Git 式 的 管理 方式 ， 使 基础 镜像 的 重用 成 为 可 能 。 现 在 就 了 解 一 下 相关 的 技 
术 吧 。 


3.5 本章 小 结 


本 章 主要 介绍 了 Docker image 的 使 用 方法 ， 另 外 还 介绍 了 Docker image 在 存储 格式 和 数据 上 的 组 织 方式 ， 以 及 一 些 具体 的 实现 细节 。 但 是 这 种 设计 也 存在 着 一 些 问题 需要 去 克服 : 


“ image 难 以 加 密 。 本 质 上 Dockerimage 是 共享 式 的 ， 如 果 我 们 加 密 了 其 中 的 layer， 那 么 该 层 就 无 法 被 共享 。 值 得 注意 的 是 ，Docker 提 供 了 一 套 基于 notary 的 镜像 的 签名 机 制 ， 可 以 一 定 程度 做 到 镜像 的 安 
全 分 发 。 


“ image 分 层 后 产生 了 大 量 的 元 数据 ， 不 便于 存储 。 现 在 很 多 分 布 式 存储 对 小 文件 的 支持 都 不 是 很 好 。 所 以 搭建 私有 的 镜像 仓库 时 需要 选用 合理 的 存储 后 端 。 


“ image 制作 完成 后 无 法 修改 。Docket 未 提供 修改 或 合并 层 的 命令 ， 因 此 ， 如 果 制 作 镜像 的 过 程 中 需要 使 用 到 一 些 隐私 信息 ， 则 一 定 要 在 使 用 完 后 立即 删除 。 


第 4 章 仓库 进 阶 


仓库 (repository) 用 来 集中 存储 Docker 镜 像 ， 支 持 镜像 分 发 和 更 新 。 目 前 世界 上 最 大 最 知名 的 公共 仓库 是 Docker 官 方 发 布 的 Docker Hub， 上 面 有 超过 15000 个 镜像 。 国 内 比较 知名 的 Docker 仓 库 社 
区 有 Docker Pool、 阿 里 云 等 。 


为 满足 容 灾 需求 ，Docker 仓 库 后 端 通 常 采用 分 布 式 存储 。 比 较 常 用 的 分 布 式 存储 平台 包括 亚马逊 S3、 微 软 Azure 和 华为 UDS 等 。 


第 4 章 仓库 进 阶 


4.1 什么 是 仓库 


仓库 (repository) 用 来 集中 存储 Docker 镜 像 ， 支 持 镜像 分 发 和 更 新 。 目 前 世界 上 最 大 最 知名 的 公共 仓库 是 Docker 官 方 发 布 的 Docker Hub， 上 面 有 超过 15000 个 镜像 。 国 内 比较 知名 的 Docker 仓 库 社 
区 有 Docker Pool、 阿 里 云 等 。 


为 满足 容 灾 需求 ，Docker 仓 库 后 端 通 常 采用 分 布 式 存储 。 比 较 常 用 的 分 布 式 存储 平台 包括 亚马逊 S53、 微 软 Azure 和 华为 UDS 等 。 


4.2 再 看 Docker Hub 


4.2.1 ”Docker Hub 的 优点 


Docker Hub 是 目前 世界 上 最 大 最 知名 的 Docker 镜 像 仓库 ， 由 Docker 公 司 官方 发 布 。Docker Hub 的 优点 总 结 如 下 : 


“ 为 开发 者 提供 了 海量 Docker 镜 像 ， 供 免费 下 载 学 习 和 使 用 ; 

“ 拥有 完善 的 账户 管理 系统 ， 为 用 户 提供 付费 扩容 ; 

: 服务 器 采用 分 布 式 部 署 ， 支 持 负载 均衡 ; 

“ 支持 镜像 上 传 、 下 载 、 查 询 、 删 除 及 属性 设置 等 多 种 操作 ; 

“ 支持 在 线 编译 镜像 ; 

“后 端 采用 分 布 式 存储 ， 可 容 灾 备 份 ; 

“ 其 核心 是 Docker disttibution， 在 开源 社区 上 设计 维护 ， 会 不 断 更 新 和 完善 ; 


“ 提供 企业 版 Docker Hub， 为 企业 级 用 户 提供 一 站 式 解决 方案 。 


事实 上 Docker Hub 属 开源 社区 性 质 ， 为 Docker 开 发 者 服务 ， 在 发 布 形式 和 服务 功能 上 很 大 程度 模仿 了 Github。Github 托 管 代码 ， 而 Docker Hub 托 管 镜像 。 这 就 使 有 过 开源 社区 经 验 的 开发 者 觉得 
Docker Hub 熟 悉 且 方便 。 


4.3 仓库 服务 


Docker 仓 库 和 仓库 注册 服务 经 常 被 混为一谈 。 事 实 上 服务 是 用 来 搭建 仓库 的 ， 通 常 运行 在 容器 里 面 。 


Docker Registry 是 构建 仓库 的 核心 ， 用 于 实现 开源 Docker 镜 像 的 分 发 。Docker Registry 源 码 发 布 在 : https://github.com/docker/distribution。Docker 先 后 设计 并 发 布 了 两 个 Registry 开 源 项 
这 里 只 介绍 2.0 版 本 Registry。 


4.4 部 署 私有 仓库 


4.4.1 运行 私有 服务 


Docker 私 有 服务 (private registry) 用 来 建设 私有 仓库 ， 管 理 私有 Docker 镜 像 。 部 署 私有 服务 的 优点 有 : 


“ 可 独立 开发 和 运 维 私有 仓库 ; 
“ 节省 带宽 资源 ; 

: 有 独立 的 账户 管理 系统 ; 

“ 增加 了 定制 化 功能 。 


搭建 私有 仓库 的 前 提 是 部 署 Docker Private Registry。Registry 的 运行 命令 如 下 : 


$ docker run -d --hostname localhost --name registry-v2 \ 
-V /opt/data/distribution:/var/lib/registry/docker/registry/v2 \ 
-p 5000:5000 registry:2.0 


基础 镜像 可 以 基于 Docker Registry 官 方 代码 编译 (https://github.com/docker/distribution) 。 


上 面 运行 一 个 名 为 registry-v2 的 服务 时 ， 命 令 中 的 -v 选 项 会 把 本 地 某 个 目录 mount 到 容器 内 镜像 存储 目录 ， 方 便 开 发 者 查看 和 管理 本 地 镜像 数据 。 


这 里 为 了 演示 ， 让 Registry 向 外 暴露 了 端口 5000， 这 样 一 来 ， 任 何 可 以 访问 这 台 主 机 的 用 户 都 可 以 向 Registry 上 传 或 下 载 镜像 。 比 如 ， 可 用 上 面 介绍 Registry 时 演示 的 针对 私有 仓库 的 push/pull 命 令 完 
成 操作 : 


$ docker push localhost:5000/official/ubuntu:14.04 


push 后 面 指明 了 服务 主机 名 或 域名 localhost，5000 代 表 对 外 端口 ， 后 面 跟随 的 是 具体 仓库 的 名 称 。 这 样 访问 该 主机 的 用 户 就 都 可 以 上 传 或 下 载 镜像 了 。 


4.5 Index 及 仓库 高 级 功能 


4.5.1 _ Index 的 作用 和 组 成 


按照 上 一 节 介绍 的 方法 ， 搭 建 起 来 的 私有 仓库 只 具备 镜像 存储 和 安全 访问 功能 ， 而 不 具备 账户 管理 功能 。 要 实现 完整 的 解决 方案 ，Docker 开 发 者 需要 设计 Docker Index 用 户 管理 系统 。 先 来 看 看 Index 
和 Registry 的 关系 ， 如 图 4-13 所 示 。 


Reglstry 


$ docker pull samalba/busybox 


图 4-13 ”Registry 和 Index 交 互 过 程 


Index 主 要 包括 以 下 几 项 作用 : 


' 管理 Docker Private Hub 注 册 用 户 


“ 保存 记录 和 更 新 用 户 信息 ， 以 及 


“ Docker 元 数据 (metadata) 存储 ; 


“ 记录 用 户 操作 镜像 的 历史 数据 ; 


“ 提供 操作 界面 Web UI， 用 户 可 以 


， 认 证 用 户 访问 权限 ; 


token 等 校 验 信息 ; 


方便 地 访问 和 更 新 资源 。 


Index 生 要 由 几 个 子 模块 组 成， 包括 控制 单元 、 鉴 模块、 数据库、 健康 检查 模块 和 日 志 系统 等 。 这 里 给 出 一 个 Index 的 参考 设计 ， 如 图 4-14 所 示 。 
一 一 一 > 健康 检测 

认证 信息 
一 一 一 一 > Docker 业务 交互 
一 一 一 > 数据 库 交互 


鉴 权 模块 
Index 服务 大 


图 4-14 Index 设计 架构 


[由 该 图 源 于 : https://github.com/docker/distribution/blob/master/docs/spec/auth/token.md。 


4.6 ”本 章 小 结 


通过 本 章 的 介绍 ， 读 者 了 解 了 Docker Registry 的 作用 和 实现 原理 ， 以 及 一 些 重要 的 扩展 功能 。 


Docker Registry 在 演进 过 程 中 ， 功 能 和 性 能 都 在 不 断 得 到 提升 : 镜像 上 传 和 下 载 的 执行 效率 获得 提高 ;Registry 后 端 存储 兼容 了 业界 主流 的 分 布 式 存储 模式 ， 使 用 者 有 了 更 多 的 选择 ; 利 | 


Docker Compose 技 术 可 使 多 机 部 署 更 加 容易 ; 软件 上 实现 了 支持 外 部 插件 ， 使 用 者 可 以 根据 自己 的 需求 开发 插件 ， 控 制 Registry 行 为 。 


未 来 ， 开 发 者 会 进一步 丰富 Docke 


5.1 ”Docker 网 络 现状 


r Registry 的 功能 ， 提 升 运行 的 稳定 性 ， 把 Registry 打 造成 为 Docker 核 心服 务 之 一 。 


第 5 章 ”Docker 网 络 


了 Nginx 和 


随 着 Docker 的 迅速 流行 ， 越 来 越 多 的 厂商 开始 探索 Docker 在 实际 生产 环境 中 的 应 用 ， 其 中 又 以 云 计算 厂商 为 主流 。 迅 速 的 流行 也 导致 了 Docker 网 络 方面 的 短 板 早 早 地 就 暴露 了 出 来 一 一 性 能 低下 、 功 
能 不 足 ，Docker 网 络 成 为 了 广 受 诉 病 的 一 大 缺陷 ， 在 部 署 大 规模 Docker 集 群 时 ， 网 络 也 成 为 了 最 大 的 挑战 。 


纯粹 的 Docker 原 生 网 络 功能 无 法 


了 Docker 网 络 方面 的 不 足 ，Docker 公 司 似乎 也 乐于 见 到 并 鼓励 用 户 使 用 第 三 方 的 方案 来 满足 形形色色 的 网 络 需求 。 


足 广 大 云 计算 厂商 的 需要 ， 于 是 一 大 批 第 三 方 的 SDN 解 决 方案 如 雨后春笋 般 涌现 出 来 ， 如 Pipework、Weave、Flannel、Socketplane 等 ， 这 些 优秀 的 开源 软件 弥补 


2015 年 3 月 ，Docker 宣 布 收购 SocketPlane， 随 后 SocketpPlane 社 区 开始 沉 家 ， 一 个 新 的 Docker 子 项 目 “Libnetwork” 开始 酝酿 。 一 个 月 后 ，Libnetwork[I1] 在 github 上 正式 与 开发 者 见面 ， 预 示 着 


Docker 开 始 在 网 络 方面 发 力 。 


is 示 


gtlog 显 示 ， 实 际 上 早 在 2015 年 2 月 19 日 Libnetwotk 就 提交 了 第 一 次 commit， 这 也 就 意味 着 Libnetwotk 的 生日 实际 上 是 2 月 19 日 。 


Libnetwork 提 出 了 新 的 容器 网 络 模型 (Container Network Model， 简称 CNM) ， 定 义 了 标准 的 API 用 于 为 容器 配置 网 络 ， 其 底层 可 以 适 配 各 种 网 络 驱动 (如 图 5-1 所 示 ) 。CNM 有 三 个 重要 的 概 


“ 沙 金 。 沙 金 是 一 个 隔离 的 网 络 运行 环境 ， 保 存 了 容器 网 络 栈 的 配置 ， 包 括 了 对 网 络 接口 、 路 由 表 和 DNS 配置 的 管理 。 在 Linux 平 台 上 ， 沙 盒 是 用 Linux Network Namespace 实 现 的 ， 在 其 他 平台 上 可 能 是 
不 同 的 概念 ， 如 FreeBSD Jail。 一 个 沙 爹 可 以 包括 来 自 多 个 网 络 的 多 个 Endpoint (端点 ) 。 


“ Endpoint。Endpoint 将 沙 金 加 入 一 个 网 络 ，Endpoint 的 实现 可 以 是 一 对 veth pait 或 者 OVS 内 部 端口 ， 当 前 的 Libnetwork 使 用 的 是 veth pairf。 一 个 Endpoint 只 能 隶属 于 一 个 沙 金 及 一 个 网 络 。 通 过 给 沙 盒 增 加 
多 个 Endpoint 可 以 将 一 个 沙 盒 加 入 多 个 网 络 。 


“ 网络。 网 络 包括 一 组 能 互相 通信 的 Endpoint。 网 络 的 实现 可 以 是 Linux bridge、vlan 等 。 


Docker 容器 


Docker 容器 


网 络 沙 全 


zs 
| Endpoint | | Endpoint Endpoint 
| < AL | \ 


网 络 1 | | 


5-1 ”CNM 概念 模型 


从 CNM 的 概念 角度 讲 ，Libnetwork 的 出 现 使 得 Docker 具 备 了 跨 主机 多 子 网 的 能 力 ， 同 一 个 子 网 内 的 不 同 容器 可 以 运行 在 不 同 主机 上 。 比 如 ， 同 属于 192.168.0.0/24 子 网 IP 地 址 分 别 为 192.168.0.1 和 
192.168.0.2 的 容器 可 以 位 于 不 同 的 主机 上 且 可 以 直接 通信 ， 而 持 有 IP 192.168.1.1 的 容器 即使 与 1P 为 192.168.0.1 的 容器 处 于 同一 主机 也 不 能 互通 。 


到 本 书写 成 为 止 ，Libnetwork 已 经 实现 了 五 种 驱动 (driver) : 


“ bridge: Docker 默 认 的 容器 网 络 驱动 。Container 通 过 一 对 veth pait 连 接 到 docker0 网 桥 上 ， 由 Docker 为 容器 动态 分 配 IP 及 配置 路 由 、 防 火 墙 规则 等 。 


“ host: 容器 与 主机 共享 同一 Network Namespace， 共 享 同 一 套 网 络 协议 栈 、 路 由 表 及 iptables 规 则 等 。 容 器 与 主机 看 到 的 是 相同 的 网 络 视图 。 
“ null: 容器 内 网 络 配置 为 空 ， 需 要 用 户 手动 为 容器 配置 网 络 接口 及 路 由 等 。 


“ temote: Docker 网 络 插件 的 实现 。Remote drivet 使 得 Libnetwotrk 可 以 通过 HTTP RESTful API 对 接 第 三 方 的 网 络 方案 ， 类 似 SocketPlane 的 SDN 方 案 只 要 实现 了 约定 的 HTTP URL 处 理 函 数 及 底层 的 网 络 接口 
配置 方法 ， 就 可 以 替换 Docker 原 生 的 网 络 实现 。 


“ overlay: Docker 原 生 的 跨 主机 多 子 网 网 络 方案 。 主 要 通过 使 用 Linux bridge 和 vxlan 隧 道 实 现 ， 底 层 通过 类 似 于 etcd 或 consul 的 KV 存 储 系统 实现 多 机 的 信息 同步 。overlay 驱 动 当前 还 未 正式 发 布 ， 但 开发 者 
可 以 通过 编译 实验 版 的 Docker 来 尝试 使 用 ，Docker 实 验 版 同时 提供 了 额外 的 network 和 service 子 命令 来 进行 更 灵活 的 网 络 操作 ， 不 过 ， 需 要 内 核 版 本 >=3.16 才 可 正常 使 用 。 


以 上 五 种 驱动 已 经 随 Docker 1.8 一 同 发 布 ， 而 overlay driver 可 能 要 在 Docker 的 下 一 版 本 中 才 会 正式 投入 使 用 ， 相 信和 届时 会 为 Docker 的 网 络 能 力 带 来 质 的 提升 。 


由 Libnetwork 源码 地 址 : https://github.com/docker/libnetwork.git。 


第 5 章 ”Docker 网 络 


5.1 ”Docker 网 络 现状 


随 着 Docker 的 迅速 流行 ， 越 来 越 多 的 厂商 开始 探索 Docker 在 实际 生产 环境 中 的 应 用 ， 其 中 又 以 云 计算 厂商 为 主流 。 迅 速 的 流行 也 导致 了 Docker 网 络 方面 的 短 板 早 早 地 就 暴露 了 出 来 一 一 性 能 低下 、 功 
能 不 足 ，Docker 网 络 成 为 了 广 受 诉 病 的 一 大 缺陷 ， 在 部 署 大 规模 Docker 集 群 时 ， 网 络 也 成 为 了 最 大 的 挑战 。 


纯粹 的 Docker 原 生 网 络 功能 无 法 满足 广大 云 计 算 厂商 的 需要 ， 于 是 一 大 批 第 三 方 的 SDN 解 决 方案 如 雨后春笋 般 涌 现 出 来 ， 如 Pipework、Weave、Flannel、SocketPlane 等 ， 这 些 优秀 的 开源 软件 弥补 
了 Docker 网 络 方面 的 丰 足 ，Docker 公 司 似乎 也 乐于 见 到 并 鼓励 用 户 使 用 第 三 方 的 方案 来 满足 形形色色 的 网 络 需求 。 


2015 年 3 月 ，Docker 宣 布 收购 SocketPlane， 随 后 SocketPlane 社 区 开始 沉 家 ， 一 个 新 的 Docker 子 项 目 “Libnetwork“” 开始 酝酿 。 一 个 月 后 ，Libnetwork[1] 在 github 上 正式 与 开发 者 见面 ， 预 示 着 
Docker 开 始 在 网 络 方面 发 力 。 


is 示 


gitlog 显 示 ， 实 际 上 早 在 2015 年 2 月 19 日 Libnetwo 江 就 提交 了 第 一 次 commit， 这 也 就 意味 着 Libnetwo 水 的 生日 实际 上 是 2 月 19 日 。 


Libnetwork 提 出 了 新 的 容器 网 络 模型 (Container Network Model， 简称 CNM) ， 定 义 了 标准 的 API 用 于 为 容器 配置 网 络 ， 其 底层 可 以 适 配 各 种 网 络 驱动 (如 图 5-1 所 示 ) 。CNM 有 三 个 重要 的 概 


“ 沙 爹 。 沙 盒 是 一 个 隔离 的 网 络 运行 环境 ， 保 存 了 容器 网 络 栈 的 配置 ， 包 括 了 对 网 络 接口 、 路 由 表 和 DNS 配置 的 管理 。 在 Linux 平 台 上 ， 沙 金 是 用 Linux Network Namespace 实 现 的 ， 在 其 他 平台 上 可 能 是 


不 同 的 概念 ， 如 FreeBSD Jail。 一 个 沙 盒 可 以 包括 来 自 多 个 网 络 的 多 个 Endpoint (端点 ) 。 


“Endpoint。Endpoint 将 沙 盒 加 入 一 个 网 络 ，Endpoint 的 实现 可 以 是 一 对 veth pait 或 者 OVS 内 部 端口 ， 当 前 的 Libnetwork 使 用 的 是 veth pair。 一 个 Endpoint 只 能 隶属 于 一 个 沙 使 及 一 个 网 络 。 通 过 给 沙 售 增 加 


多 个 Endpoint 可 以 将 一 个 沙 盒 加 入 多 个 网 络 。 


“ 网 络 。 网 络 包括 一 组 能 互相 通信 的 Endpoint。 网 络 的 实现 可 以 是 Linux bridge、vlan 等 。 


Docker 容器 


Docker 容器 Docker 容器 
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网 络 1 | 


图 5-1 CNM 概 念 模型 


F192.168.0.0/24 子 网 IP 地 址 分 别 为 192.168.0.1 和 


从 CNM 的 概念 角度 讲 ，Libnetwork 的 出 现 使 得 Docker 具 备 了 跨 主机 多 子 网 的 能 力 ， 同 一 个 子 网 内 的 不 同 容器 可 以 运行 在 不 同 主机 上 。 比 如 ， 同 属 了 
192.168.0.2 的 容器 可 以 位 于 不 同 的 主机 上 且 可 以 直接 通信 ， 而 持 有 IP 192.168.1.1 的 容器 即使 与 1P 为 192.168.0.1 的 容器 处 于 同一 主机 也 不 能 互 


到 本 书写 成 为 止 ，Libnetwork 已 经 实现 了 五 种 驱动 (driver) : 


“ bridge: Docker 默 认 的 容器 网 络 驱动 。Container 通 过 一 对 veth pair 连 接 到 docker0 网 桥 上 ， 由 Docker 为 容器 动态 分 配 IP 及 配置 路 由 、 防 火 墙 规则 等 。 


“ host: 容器 与 主机 共享 同一 Network Namespace， 共 享 同一 套 网 络 协议 栈 、 路 由 表 及 iptables 规 则 等 。 容 器 与 主机 看 到 的 是 相同 的 网 络 视图 。 
“ null: 容器 内 网 络 配置 为 空 ， 需 要 用 户 手动 为 容器 配置 网 络 接口 及 路 由 等 。 


“ temote: Docker 网 络 插件 的 实现 。Remote driver 使 得 Libnetwork 可 以 通过 HTTP RESTful API 对 接 第 三 方 的 网 络 方案 ， 类 似 SocketPlane 的 SDN 方 案 只 要 实现 了 约定 的 HTTP URL 处 理 函 数 及 底层 的 网 络 接口 
配置 方法 ， 就 可 以 替换 Docker 原 生 的 网 络 实现 。 


“ overlay: Docker 原 生 的 跨 主机 多 子 网 网 络 方案 。 主 要 通过 使 用 Linux bridge 和 vxlan 隧 道 实现 ， 底 层 通过 类 似 于 etcd 或 consul 的 KV 存 储 系统 实现 多 机 的 信息 同步 。overlay 驱 动 当前 还 未 正式 发 布 ， 但 开发 者 
可 以 通过 编译 实验 版 的 Docker 来 尝试 使 用 ，Docker 实 验 版 同时 提供 了 额外 的 network 和 setvice 子 命令 来 进行 更 灵活 的 网 络 操作 ， 不 过 ， 需 要 内 核 版 本 >=3.16 才 可 正常 使 用 。 


以 上 五 种 驱动 已 经 随 Docker 1.8 一 同 发 布 ， 而 overlay driver 可 能 要 在 Docker 的 下 一 版 本 中 才 会 正式 投入 使 用 ， 相 信 届 时 会 为 Docker 的 网 络 能 力 带 来 质 的 提升 。 


由 Libnetwotk 源码 地 址 : https://github.com/docker/libnetwork.git。 


5.2 ”基本 网 络 配 置 


5.2.1 ”Docker 网 络 初探 


Linux 平 台 下 ，Docker 容 器 网 络 资源 通过 内 核 的 Network Namespace 机 制 实现 隔离 ， 不 同 的 Network Namespace 有 各 自 的 网 络 设备 、 协 议 栈 、 路 由 表 、 防 火 墙 规则 等 ， 反 之 ， 同 一 Network 
Namespace 下 的 进程 共享 同一 网 络 视图 。 通 过 对 Network Namespace 的 灵活 操纵 ，Docker 提 供 了 五 种 容器 网 络 模式 ， 下 面 分 别 进行 介绍 。 


1) none: 不 为 容器 配置 任何 网 络 功能 。 


在 该 模式 下 ， 需 要 以 --net=none 参 数 启动 容器 : 


$ docker run --net=none -ti ubuntu:latest ip addr show 
1: lo: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
valid 1ft forever preferred lft forever 
inet6 ::1/128 scope host 
valid 1ft forever preferred lft forever 


接口 ， 用 户 使 用 --net=none 启 动容 器 之 后 ， 仍 然 可 以 手动 为 容器 配置 网 络 。 


可 以 看 到 Docker 容 器 仅 有 一 |o 环 | 


回 


2) container: 与 男 一 个 运行 中 的 容器 共享 Network Namespace， 共 享 相同 的 网 络 视图 。 


举 个 例子 ， 首 先 以 默认 网 络 配置 (bridge 模 式 ) 启动 一 个 容器 ， 设 置 hostname 为 dockerNet，dns 为 8.8.4.4。 


$ docker run -h dockerNet --dns 8.8.4.4 -tid ubuntu:latest bash 
d25864df1la3bbdd40613552197bd1la965acaf7f3dcb2673d50c875d4a303a67f 
$ docker exec -ti d25864dfla3b bash 
root@dockerNet:/# ip addr show 
1: 1o: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
valid 1ft forever preferred lft forever 
inet6 ::17128 scope host 
valid 1ft forever preferred lft forever 
1739: eth0: <BROADCAST, UP, LOWER UP> mtu 1500 qdisc noqueue state UP group default 
link/ether 02:42:ac:11:00:01 brd ff:ff:ff:ff:ff:ff 
inet 172.17.0.1/16 scope global eth0 
valid 1ft forever preferred lft forever 
inet6 fe80::42:acff:fell:1/64 scope link 


Valid 1ft forever preferred 1ft forever 
root@dockerNet:/# cat /etc/resolv.conf — 
nameserver 8.8.4.4 
root@dockerNet:/# exit 
exit 


然后 以 --net=container: d25864df1a3b 方 式 启 动 另 一 个 容器 : 


$ docker run --net=container:d25864dfla3b -ti ubuntu:1latest bash 
root@dockerNet:/# ip addr show 
1: 1o: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
Valid 1ft forever preferred 1ft forever 
inet6 ::17128 scope host 加 
Valid 1ft forever preferred 1ft forever 
1739: eth0: <BROADCAST, UP, LOWER UP> mtu 1500 qdisc noqueue state UP group default 
link/ether 02:42:ac:11:00:01 brd ff:ff:ff:ff:ff:ff 
inet 172.17.0.1/16 scope global eth0 
valid 1ft forever preferred 1ft forever 
inet6 fe80::42:acff:fell:1/64 scope link 
valid 1ft forever preferred lft forever 
root@dockerNet:/# cat /etc/resolv.conf 
nameserver 8.8.4.4 


可 以 看 到 ， 使 用 --net=container: d25864df1a3b 参 数 启动 的 容器 ， 其 |P 地 址 、DNS、hostname 都 继承 了 容器 d25864df1a3b。 实 质 上 两 个 容器 是 共享 同一 个 Network Namespace 的 ， 自 然 网 络 配 
置 也 是 完全 相同 的 。 


3) host: 与 主机 共享 Root Network Namespace， 容 器 有 完整 的 权限 可 以 操纵 主机 的 协议 栈 、 路 由 表 和 防火 墙 等 ， 所 以 被 认为 是 不 安全 的 。 


相应 的 ，host 模 式 启动 时 需要 指定 --net=host 参 数 。 举 个 例子 : 


$ docker run -ti --net=host ubuntu:latest bash 
root@darcy-HP:/# ip addr show 
1: 1o: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
Valid 1ft forever preferred lft forever 
inet6 ::17128 scope host 
Valid 1ft forever preferred 1ft forever 
2: eth0: <NO-CARRIER,BROADCAST, MULTICAST,UP> mtu 1500 qdisc pfifo fast state DOWN 
group default qlen 1000 
link/ether 2c:41:38:9e:e4:d5 brd ff:ff:ff:ff:ff:ff 
3: ethl: <BROADCAST,MULTICAST, UP,LOWER UP> mtu 1500 qdisc pfifo fast state UP 
group default qlen 1000 2 加 
link/ether 00:1b:21:cc:ee:6d brd ff:ff:ff:ff:ff:ff 
inet 10.110.52.38/22 brd 10.110.55.255 scope global ethl 
valid 1ft forever preferred lft forever 
inet6 fe80::21b:21ff:fecc:ee6d/64 scope link 
valid 1ft forever preferred 1ft forever 
1642: docker0: <BROADCAST,MULTICAST, UP, LOWER UP> mtu 1500 qdisc noqueue state UP 
group default A 
link/ether 22:f2:f3:18:62:5d brd ff:ff:ff:ff:ff:ff 
inet 172.17.42.1/16 scope global docker0 
valid 1ft forever preferred lft forever 
inet6 fe80::348e:71ff:fe44:2d41/64 scope link 
valid 1ft forever preferred lft forever 


host 模 式 下 ， 容 器 可 以 操纵 主机 的 网 络 配置 ， 这 是 危险 的 ， 除 非 万 不 得 已 ， 应 该 尽 可 能 避免 使 用 host 模 式 。 


4) bridge: Docker 设 计 的 NAT 网 络 模型 。 


Docker daemon 启 动 时 会 在 主机 创建 一 个 Linux 网 桥 (默认 为 docker0， 可 通过 -b 参 数 手动 指定 ) 。 容 器 启动 时 ，Docker 会 创建 一 对 veth pair (虚拟 网 络 接口 ) 设备 ，veth 设 备 的 特点 是 成 对 存在 ， 从 
一 端 进入 的 数据 会 同时 出 现在 另 一 端 。Docker 会 将 一 端 挂 载 到 docker0 网 桥 上 ， 另 一 端 放 入 容器 的 Network Namespace 内 ， 从 而 实现 容器 与 主机 通信 的 目的 。bridge 模 式 下 的 网 络 拓扑 图 如 图 5-2 所 示 。 


图 5-2 bridge 模式 的 网 络 拓扑 
在 桥接 模式 下 ，Docker 容 器 与 Internet 的 通信 ， 以 及 不 同 容器 之 间 的 通信 ， 都 是 通过 iptables 规 则 控制 的 。 


总 之 ，Docker 网 络 的 初始 化 动作 包括 : 创建 docker0 网 桥 、 为 docker0 网 桥 新 建 子 网 及 路 由 、 创 建 相应 的 iptables 规 则 等 。 


举例 来 说 ， 初 次 启动 Docker daemon 后 ， 用 户 可 以 观察 到 主机 的 网 络 接口 、 网 桥 、 路 由 等 信息 发 生 了 如 下 变化 : 


# docker daemon -D -s aufs --userland-proxy=false 
http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/OEBPS/Text/... 
$ brct1 show 
bridge name bridge id STP enabled interfaces 
docker0 8000.000000000000 no 
# 当前 没有 容器 在 运行 ， 因 而 网 桥 上 没有 网 络 接口 
$ ip addr show docker0 
1642: docker0: <BROADCRAST,MULTICAST,UP, LONER_UP> mtu 1500 qdisc noqueue state UNKNOWN group default 
link/ether 36:8e:71:44:2d:41 brd ff:ff:ff:ff:ff:ff 
inet 172.17.42.1/16 scope global docker0 
valid 1ft forever preferred lft forever 
inet6 fe80::348e:71ff:fe44:2d41/64 scope link 
Valid 1ft forever preferred 1ft forever 
# 默认 docker0 分 配 了 172.17.42.1/16 的 子 网 ， 窒 器 以 bridge 网 络 模式 运行 时 默认 从 这 个 子 网 分 配 IP。 
关 


$ route -n 内 核 IP 路 由 表 目 标 网 子 网 掩 码 标志 ”路 点 引用 使 用 接口 
0.0.0.0 L0110.52.1, O00;0 Ue 0 0 0 ethl 

10.110.52.0 “00:0.0 255.255.252.0 人 0 1 0 0 ethl 

172.17.0.0 0.0.0.0 255.255.0.0 U 0 0 0 docker0 


山 的 iptables 规 则 增加 较 多 ， 可 等 同 于 通过 如 下 命令 创建 完成 的 : 


iptables --wait -t nat -I POSTROUTING -s 172.17.42.1/16 ! -o docker0 -]j MASQUERADE 

nat -I POSTROUTING -~m addrtype --src-type LOCAL -o docker0 -j MASQUERADE 
FORWARD -i docker0 -o docker0 -j DROP 

FORWARD -i docker0 -o docker0 -j ACCEPT 

FORWARD -i docker0 ! -o docker0 -j] ACCEPT 

FORWARD -oO docker0 -m conntrack --ctstate RELATED,ESTABLISHED 


nat -n -L DOCKER 

nat -A PREROUTING -m addrtype --dst-type LOCAL -]j DOCKER 
nat -A OUTPUT -m addrtype --dst-type LOCAL -j] DOCKER 
filter -n -L DOCKER 

filter -C FORWARD -oO docker0 -j DOCKER 

FORWARD -o docker0 -j] DOCKER 


行 查阅 iptables 手 册 。 


户 可 以 通过 使 用 iptables-vnL-t nat 命 令 来 查看 iptables nat 表 或 其 他 表 (替换 前 述 命令 -t 后 表 名 ) 的 内 容 ， 相 关 含 义 请 读者 自 


Bridge 模 式 是 Docker 默 认 的 容器 运行 模式 ， 以 bridge 模 式 启动 的 容器 ， 默 认 会 从 172.17.42.1/16 子 网 内 分 配 IP。 示 例 操作 如 下 : 


$ docker run -ti --net=bridge ubuntu:latest ip addr show 
1: 1o: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
Valid 1ft forever preferred 1ft forever 
inet6 ::1/128 scope host 
valid 1ft forever preferred 1ft forever 
1743: eth0: <BROADCAST, UP, LOWER UP> mtu 1500 qdisc noqueue state UP group default 
link/ether 02:42:ac:11:00:03 brd ff:ff:ff:ff:ff:ff 
inet 172.17.0.3/16 scope global eth0 
valid 1ft forever preferred 1ft forever 
inet6 fe80::42:acff:fell:3/64 scope link tentative 
valid 1ft forever preferred lft forever 


口 


5) overlay: Docker 原 生 的 跨 主 机 多 子 网 模型 。 


overlay 网 络 模型 比较 复杂 ， 底 层 需 要 类 似 consu| 或 etcd 的 KV 存储 系统 进行 消息 同步 ， 核 心 是 通过 Linux 网 桥 与 vxlan 隧 道 实现 跨 主机 划分 子 网 。 


如 图 5-3 所 示 ， 每 创建 一 个 网 络 ，Docker 会 在 主机 上 创建 一 个 单独 的 沙 盒 ， 沙 盒 的 实现 实质 上 是 一 个 Network Namespace。 在 沙 盒 中 ，Docker 会 创建 名 为 br0 的 网 桥 ， 并 在 网 桥 上 增加 一 个 vxlan 接 
， 每 个 网 络 占用 一 个 vxlan ID， 当 前 Docker 创 建 vxlan 隧 道 的 ID 范 围 为 256~1000， 因 而 最 多 可 以 创建 745 个 网 络 。 当 添加 一 个 容器 到 某 一 个 网 络 上 时 ，Docker 会 创建 一 对 veth 网 卡 设备 ， 一 端 连接 到 此 网 
络 相关 沙 盒 内 的 br0 网 桥 上 ， 另 一 端 放 入 容器 的 沙 盒 内 ， 并 设置 br0 的 IP 地 址 作为 容器 内 路 由 默认 的 网 关 地 址 ， 从 而 实现 容器 加 入 网 络 的 目的 。 


Vxlan:256 


Vxlan 隧道 


5-3 overlay 模 式 的 网 络 拓扑 


Vxlan 隧道 


以 图 5-3 为 例 ， 容 器 1 和 容器 4 同属 一 个 网 络 ， 容 器 1 需要 通过 256 号 vxlan 隧 道 访 问 另 一 台 主 机 的 容器 4。Docker 通 过 vxlan 和 Linux 网 桥 实现 了 跨 主 机 的 虚拟 子 网 功能 。 


由 于 overlay 还 未 成 熟 ， 相 应 的 接口 也 未 正式 发 布 ， 下 面 仅 简单 介绍 相关 使 用 方法 ， 以 给 读者 提供 直观 的 认识 [1]。 


获取 实验 版 Docker 的 命令 如 下 : 


$ curl -sSL https://experimental.docker.com/ | sh 


主机 1 以 bootstrap 模 式 运行 consul server: 


$ consul agent -server -bootstrap -data-dir /tmp/consul -bind <host-1-ip-address> 


机 2 启动 consul client: 


$ consul agent -data-dir /tmp/consul -bind <host-2-ip-address> 
$ consul join <host-1-ip-address> 


主机 1 以 如 下 参数 启动 Docker daemon: 


# docker daemon --kv-store=consul:localhost:8500 
--label=com.docker.network.driver.overlay.bind interface=eth0 


机 2 以 如 下 参数 启动 Docker daemon: 


# docker daemon --kv-store=consul:1ocalhost:8500 
--label=com. docker .network.driver.overlay.bind interface=eth0 
—-label=com. docker .network.driver.overlay.neighbor ip=<host-1-ip-address> 


如 果 不 报错 ， 则 说 明 启 动 成 功 。 


用 户 随后 可 以 通过 如 下 命令 创建 网 络 并 在 网 络 上 运行 容器 了 。 主 机 1 运行 如 下 命令 : 


$ docker network create -d overlay dev 
$ docker network ls 
NETWORK ID NAME, TYPE, 


9101d162c6db bridge bridge 
fcd0327f5104 dev overlay 
or968723777 none null 
eb81445767el host hos 


七 
# bridge,null,host 会 随 Docker 启 动 创建 默认 网 络 ，dev 是 上 一 条 命令 创建 成 功 的 。 
$ docker run -tid --publish-service test.dev ubuntu:latest bash 
$ docker service ls 
SERVICE ID NAME, NETWORK CONTAINER 
015ab0c2fb24 test dev 9738192f6c2c 
$ docker exec -ti 9738192f6c2c ip addr show 
1: 1o: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
valid 1ft forever preferred lft forever 
inet6 ::1/128 scope host 
valid 1ft forever preferred lft forever 
39: eth0: <BROADCAST,MULTICAST, UP,LOWER UP> mtu 1500 qdisc noqueue state UP group 
default 
link/ether 02:42:4b:e0:1f:23 brd ff:ff:ff:ff:ff:ff 
inet 172.21.0.1/16 scope global eth0 
valid 1ft forever preferred lft forever 
inet6 fe80::42:4bff:fee0:1f23/64 scope link 
valid 1ft forever preferred lft forever 


通过 以 上 操作 ， 成 功 创建 了 一 个 名 为 dev 的 overlay 网 络 ， 并 创建 了 一 个 运行 在 该 网 络 上 的 容器 9738192f6c2c， 且 为 容器 绑 定 了 名 为 test 的 服务 。 容 器 的 IP 为 172.21.0.1。 


下 面 以 一 条 更 简单 的 命令 在 网 络 上 启动 一 个 容器 。 在 主机 2 上 运行 : 


$ docker run -tid --publish-service testl.dev.overlay ubuntu:latest bash 
$ docker service ls 


SERVICE ID NAME, NETWORK CONTAINER 
015ab0c2fb24 test dev 9738192f6c2c 
0ele32928ed3 test1 dev 28233d8allb7 


以 上 命令 为 运行 一 个 容器 ， 绑 定名 为 test1 的 服务 ，test1 服 务 所 在 的 网 络 名 称 为 dev， 网 络 类 型 为 overlay 网 络 。 上 述 命令 在 dev 网 络 不 存在 的 情况 下 会 首先 创建 overlay 网 络 dev， 然 后 发 布 名 为 test1 的 
服务 并 绑 定 容器 。 


测试 发 现 ， 服 务 test 和 test1 绑 定 的 两 个 容器 即使 是 在 两 台 不 同 的 主机 上 互相 之 间 也 是 可 以 通信 的 ， 而 如 果 创 建 另 一 个 名 为 prod 的 网 络 并 在 其 上 运行 容器 ， 则 无 法 与 dev 网 络 上 的 容器 进行 通信 。 


Docker 创 建 的 沙 盒 (Network Namespace) 保存 在 /var/run/docker/netns/， 用 户 可 以 通过 以 下 方式 查看 br0 及 vxlan 端 口 所 在 的 网 络 沙 盒 详 情 : 


# ln -s /var/run/docker/netns/fcd0327£5104 /var/run/netns/fcd0327£5104 
# fcd0327f5104 实 质 上 是 dev 网 络 的 网 络 ID， 创 建 软 链接 的 目的 是 为 了 能 够 使 用 ip 命令 操纵 名 字 空 间 。 
$ ip netns exec fcd0327f5104 ip addr show # 查 看 端口 详细 信息 
1: lo: <LOOPBACK,UP,LOWER UP> mtu 65536 qdisc noqueue state UNKNOWN group default 
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 
inet 127.0.0.1/8 scope host lo 
Valid 1ft forever preferred 1ft forever 
inet6 ::1/128 scope host ee 
Valid 1ft forever preferred 1ft forever 
2: br0: <BROADCAST,MULTICAST, UP, LOWER UP> mtu 1500 qdisc noqueue state UP group 
default 
link/ether 4e:62:e3:ab:fd:45 brd ff:ff:ff:ff:ff:ff 
inet 172.21.255.254/16 scope global br0 
Valid 1ft forever preferred 1ft forever 
inet6 fe80::b8c8:65ff:fe04:355/64 scope link 
Valid 1ft forever preferred 1ft forever 
39: vxlanl: <BROADCAST, MULTICAST, UP, LOWER UP> mtu 1500 qdisc noqueue master br0 state 
UNKNOWN group default 
link/ether 76:64:a6:e0:0b:19 brd ff:ff:ff:ff:ff:ff 
inet6 fe80::7464:a6ff:fee0:b19/64 scope link 
valid 1ft forever preferred lft forever 
41: veth2: <BROADCAST, MULTICAST,UP,LOWER UP> mtu 1500 qdisc noqueue master br0 state UP group default 
link/ether 4e:62:e3:ab:fd:45 brd ff:ff:ff:ff:ff:ff 
inet6 fe80::4c62:e3ff:feab:fd45/64 scope link 
Valid 1ft forever preferred 1ft forever 
$ ip netns exec fcd0327f5104 brctl Show # 查看 网 桥 信息 


bridge name bridge id STP enabled interfaces 
br0 8000.4e62e3abfd45 no veth2 
vxlanl 


$ ip netns exec fcd0327f5104 ip -d link show vxlanl # 查看 Vxlan 详 细 信 息 
39: vxlanl: <BROADCAST,MULTICAST,UP,LOWER UP> mtu 1500 qdisc noqueue master br0 state 
UNKNOWN mode DEFAULT group default 
link/ether 76:64:a6:e0:0b:19 brd ff:ff:ff:ff:ff:ff promiscuity 1 
vxlan id 256 srcport 0 0 dstport 46354 proxy l2miss l3miss ageing 300 
bridge_ slave 
# vxlan id 256 表 明 占 用 256 号 vxlan 隧 道 。 


以 上 命令 为 读者 提供 了 使 用 shell 命 令 查看 overlay 网 络 拓扑 的 方法 ， 读 者 可 使 用 相关 命令 查看 主机 1 或 主机 2 上 的 容器 网 络 拓扑 详情 。 本 书 不 是 一 本 讲 Docker 源 码 的 书籍 ， 如 果 读 者 对 overlay 的 底层 实现 
感 兴趣 ， 不 妨 深入 阅读 一 下 Libnetwork overlay driver 的 相关 实现 代码 ， 本 文 不 再 歼 述 overlay driver 的 更 多 详细 实现 。 


综 上 所 述 ，Docker 的 整个 网 络 模型 ， 是 建立 在 Network Namespace、Linux 网 桥 、vxlan 隧 道 、iptables 规 则 之 上 的 ， 也 正 是 由 于 过 于 依赖 网 桥 与 iptables， 导 致 Docker 的 网 络 效率 不 高 ， 招 致 了 用 户 
和 开发 者 的 诉 病 。 


[由 详细 使 用 说 明 可 以 参看 官方 文档 ， 地 址 为 : https://github.com/docker/libnetwork/blob/master/docs/overlay.md。 


5.3 ”高 级 网 络 配 置 


上 一 节 介绍 了 Docker 网 络 相 关 的 参数 ， 相 信 读 者 对 Docker 网 络 相关 的 配置 都 有 了 一 定 的 了 解 。 本 节 将 介绍 如 何 通过 一 些 基本 的 Linux 命 令 ， 手 动 为 Docker 容 器 构建 跨 主机 的 多 个 子 网 ， 从 而 进一步 加 深 
读者 对 Docker 容 器 网 络 相关 功能 实现 的 理解 ， 更 加 详细 的 解释 则 需要 读者 从 Libnetwork 的 代码 中 找 答案 了 。 


5.4 ”网 络 解决 方案 进 阶 


由 于 Docker 当 前 overlay network driver 还 处 于 开发 之 中 ， 原 生 的 Docker 网 络 无 法 满足 集群 部 署 的 需要 ， 而 使 用 ip 等 命令 手动 配置 网 络 又 过 于 麻烦 ， 因 此 我 们 需要 使 用 一 些 第 三 方 的 网 络 方案 来 帮助 简 
化 网 络 的 部 署 及 管理 。 在 5.1 节 中 提 到 了 Weave、Flannel 及 SocketPlane， 本 节 将 对 这 三 个 开源 的 Docker SDN 网 络 方案 给 出 一 些 简单 的 介绍 及 对 比 ， 读 者 可 以 自行 选择 ， 找 到 适合 自己 的 方案 。 


ja 示 


5.1 节 提 到 的 Pipework 仅 仅 是 一 个 简单 的 配置 工具 ， 在 集群 部 署 中 作用 有 限 ， 本 节 不 做 介绍 。Pipewotk 的 内 部 实现 实质 上 与 5.3 节 非常 相似 ， 若 读者 理解 5.3 节 的 内 容 有 困难 ， 不 妨 使 用 并 阅读 一 下 Pipework 


的 源码 ， 相 信 会 有 不 小 的 收获 。 


5.5 ”本 章 小 结 


本 章 介绍 了 Docker 网 络 相关 的 内 容 。5.1 节 介绍 了 Docker 当 前 的 网 络 现状 ， 以 及 Libnetwork 的 诞生 背景 等 ; 5.2 节 重点 介绍 了 Docker 的 几 种 网 络 模式 ， 包 括 bridge、null、host、remote 及 overlay 网 
络 驱动 的 使 用 ， 简 单 剖 析 了 其 实现 方法 ， 随 后 讲解 并 演示 了 Docker 网 络 相关 的 命令 行 参数 的 使 用 ，5.3 节 使 用 Open VSwitch 手 动 实现 了 容器 跨 主 机 多 子 网 通信 的 一 个 网 络 方案 ， 希 望 通 过 手动 操作 容器 网 
络 ， 给 读者 更 加 深刻 的 认识 ; 最 后 一 节 介 绍 了 主流 的 比较 受 关注 的 一 些 Docker SDN 网 络 方案 ， 读 者 在 使 用 过 程 中 ， 可 以 根据 自己 的 需要 酌情 选择 适合 的 网 络 方案 。 


网 络 具 有 天 然 的 复杂 性 ，Docker 网 络 方面 还 并 不 成 熟 ， 也 并 不 完美 。 但 随 着 时 间 推 移 ， 随 着 Docker 的 不 断 成 长 和 进步 ， 相 信 未 来 一 定 会 给 大 家 提供 一 份 足够 强大 的 网 络 实现 。 


第 6 章 ”容器 卷 管理 


前 几 章 已 经 介绍 了 很 多 Docker 相 关 的 知识 ， 本 一 章 将 着 重 介绍 容器 的 卷 管理 功能 。 卷 管理 在 实际 应 用 中 扮演 着 重要 的 角色 ， 可 以 说 任何 应 用 只 要 产生 数据 ， 就 会 用 到 卷 管理 。 


我 们 知道 ，Docker 容 器 里 产生 的 数据 ， 如 果 不 通 过 docker commit 生 成 新 的 镜像 ， 使 数据 作为 镜像 的 一 部 分 保存 下 来 ， 就 会 在 容器 删除 后 丢失 。 为 了 能 够 持久 化 保存 和 共享 容器 的 数据 ，Docker 提 出 
了 卷 (volume) 的 概念 。 简 单 来 讲 ， 卷 就 是 目录 或 文件 ， 由 Docker daemon 挂 载 到 容器 中 ， 因 此 不 属于 联合 文件 系统 ， 卷 中 的 数据 在 容器 被 删除 后 仍然 可 以 访问 。Docker 提 供 了 两 种 管理 数据 的 方式 : 数 
据 卷 和 数据 卷 容器 。 在 6.1 节 ， 将 着 重 介绍 Docker 数 据 卷 和 数据 卷 容器 。6.2 节 开始 将 介绍 Docker 1.8 合 入 的 特性 卷 插件 (volume plugin) ， 有 了 卷 插 件 就 可 以 更 方便 更 集中 地 管理 容器 产生 的 数据 。 


6.1 ”Docker 卷 管理 基础 


6.1.1 增加 新 数据 郑 


户 可 以 在 执行 docker create 或 docker run 命 令 时 使 用 -v 参 数 来 添加 数据 卷 ， 也 可 以 通过 多 次 指定 该 参数 来 挂 载 多 个 数据 卷 。 这 里 以 创建 busybox 容 器 为 例 : 


$ docker run -d -v /tmp/data --name busyboxtest busybox 


其 中 ，-v 参 数 会 在 容器 的 /tmp/data 目 录 下 创建 一 个 新 的 数据 卷 。 


户 可 以 通过 docker inspect 命 令 查看 数据 卷 在 主机 中 的 位 置 : 


$ docker inspect busyboxtest… 
"Volumes": { 
"/tmp/data": 
"/var/lib/docker/volumes/08c5670c709£53dd10313e4309a4bb19e883102c0ed99207c4833eb 
1dlabc8el/_data" 


}, 

"VolumesRW": { 
"/tmp/data": true 

ys 


从 返回 结果 中 可 以 看 到 ，/tmp/data 数 据 卷 对 应 的 主机 目录 位 置 为 : 


/var/lib/docker/volumes/08c5670c709f53dd10313e4309a4bb19e883102c0ed99207c4833ebldlabc8el/_data 


6.2 ”使 用 卷 插件 


6.2.1 “ 卷 插件 简介 


卷 插 件 机 制 在 Docker 1.8 版 本 引入 ， 在 这 之 前 Docker 也 支持 一 些 数据 卷 方案 ， 这 些 方法 在 6.1 节 已 经 介绍 过 ， 那 么 ， 为 什么 还 要 开发 卷 插 件 ， 卷 插件 能 做 什么 事情 ?下 面 将 逐步 介绍 Docker 卷 插件 。 


首先 从 一 个 应 用 需求 出 发 ， 看 看 传统 的 Docker 卷 管理 在 使 用 上 有 什么 缺陷 。 假 设 有 一 大 型 集团 公司 要 部 署 一 个 覆盖 全 国 的 服务 ， 并 要 求 在 北京 、 上 海 、 深 圳 等 几 个 地 方 均 有 服务 器 ， 且 每 个 城市 都 要 部 
署 几 十 个 后 端 服务 节点 (增加 网 络 吞 吐 量 ) 。 部 署 完 成 后 ， 这 些 节点 将 都 会 产生 用 户 数据 ， 比 如 用 户 登录 、 操 作 、 配 置 等 产生 的 私有 数据 ， 那 么 这 些 数据 该 如 何 管理 和 同步 呢 ? 如 果 某 些 节点 挂 了 ， 这 些 数 
据 又 该 如 何 迁 移 呢 ? Docker 传 统 的 卷 管理 ， 只 能 将 本 机 的 目录 挂 载 到 容器 中 ， 这 时 数据 的 备份 、 共 享 、 迁 移 都 将 是 个 挑战 。 基 于 这 些 考虑 ，Docker 开 发 了 数据 卷 管理 的 接口 ， 允 许 使 用 第 三 方 插件 来 管理 
容器 中 的 数据 。 


总 而 言 之 ， 开 发 者 可 以 根据 自己 的 需要 开发 自己 的 卷 插件 ， 使 用 自己 的 插件 可 以 更 方便 、 更 灵活 地 将 本 机 或 远 端 的 存储 卷 挂 载 到 本 地 的 容器 中 ， 提 供 比 Docker 自 身 的 卷 管理 更 丰富 的 功能 ， 例 如 快照 、 
备份 等 。 


6.3 卷 插件 剖析 


上 一 节 以 Convoy 为 例 ， 介 绍 了 卷 插件 如 何 使 用 。 读 者 可 能 会 好 奇 卷 插件 的 原理 以 及 如 何 实现 自己 的 插件 ， 下 面 就 为 大 家 揭 开卷 插件 的 神秘 面纱 。 


6.4 已 有 的 卷 插 件 


目前 社区 已 经 有 几 种 不 同 的 插件 。 它 们 都 是 严格 按照 Docker Volume-Plugin REST API 接 口 设计 和 实现 的 ， 只 是 存储 不 太 相同 ， 这 里 着 重 介绍 两 种 比较 主流 的 卷 插 件 。 


“ Convoy: 一 种 基于 本 地 存储 的 单机 版 插件 ， 本 地 支持 的 存储 驱动 包括 Device Mapper、VFS、EBS 等 (可 将 NFS 挂 载 到 VFS 目 录 下 ， 实 现 跨 主 机 存储 和 共享 ) 。Convoy 具 有 存储 备份 功能 ， 可 以 为 卷 名 称 
设置 还 原点 ， 并 基于 还 原点 恢复 数据 。 由 于 Convoy 是 个 单机 版 插件 ， 因 此 对 卷 的 迁移 和 共享 支持 得 不 是 很 好 。 


: Flocker: 另外 一 个 功能 很 强大 的 卷 播 件 ， 支 持 多 种 后 台 存储 驱动 ， 包 括 OpenStack Cinder、AWS EBS、EMC ScaleIO、ZFS 等 。 虽 然 Flocket 支 持 卷 的 迁移 ， 但 不 支持 卷 共 享 (本 节 介绍 的 是 目前 Flocker 
最 新 的 1.2.0 版 本 ， 但 是 社区 也 在 继续 开发 中 ， 至 于 后 续 能 否 支持 卷 共享 不 得 而 知 ) 。Flocker 的 逻辑 过 于 复杂 ， 并 且 Flocker Control Service 是 一 个 单 点 部 署 服务 ， 客 灾 能 力 较 差 ， 这 也 是 它 的 一 个 很 大 的 缺点 。 


图 6-2 是 摘自 官方 的 一 张 Flocker 部 署 图 (https://clusterhq.com/flocker/introduction/) 。 


nodel node2 


图 6-2 ”Flocker 原 理 图 


另外 ， 社 区 里 还 有 GlusterFS、Keywhiz、REX-Ray 等 插件 。 这 五 种 是 目前 Docker 官 方 声称 支持 的 插件 ， 其 原理 都 大 同 小 异 ， 对 于 后 三 种 插件 ， 有 兴趣 的 读者 可 以 自行 研究 。 


6.5 本章 小 结 


本 章 首先 介绍 了 Docker 本 身 的 数据 卷 和 数据 卷 容器 ， 这 些 特 性 是 Docker 1.8 之 前 的 版 本 就 支持 的 ， 也 是 传统 的 Docker 用 于 解决 数据 存储 的 方案 。 但 是 这 种 方式 有 浆 端 ， 如 果 是 部 署 大 型 的 工程 ， 就 显 
得 捉 襟 见 时 了 。 后 续 又 介绍 了 Docker 的 卷 插件 ， 了 解 了 它 的 使 用 方式 以 及 工作 原理 ， 并 对 比 了 目前 主流 卷 插件 的 功能 和 特性 。 对 于 Docker 的 使 用 者 来 讲 ， 理 解 卷 插件 的 原理 ， 以 及 能 熟悉 卷 插件 的 功能 和 
特性 ， 还 是 有 很 大 帮助 的 ， 尤 其 是 在 大 型 项 目的 部 署 上 。 


第 7 章 Docker API 


简洁 易 用 的 Docker API 对 Docker 及 周边 生态 的 迅速 崛起 起 到 了 不 可 估量 的 促进 作用 。 依 赖 于 良好 的 设计 以 及 REST 架 构 与 生 俱 来 的 优势 ，Docker API 向 业界 清晰 明了 地 展示 了 Docker 强 大 的 功能 及 灵 
活性 。 


掌握 Docker API 将 有 助 于 更 加 深入 地 理解 Docker， 并 且 它 会 对 诸如 “我 的 系统 该 如 何 与 Docker 集 成 ”等 问题 提供 帮助 。 本 章 将 从 Docker API 的 简介 开始 ， 辅 以 多 个 由 浅 入 深 的 API 用 例 进 行 讲解 ， 最 
后 通过 一 个 更 高 级 的 综合 应 用 总 结 本 章 内 容 。 


7.1 关于 Docker API 


前 文 已 经 提 到 ，Docker API 是 RESTful 的 。 那 么 什么 是 REST， 人 怎样 设计 的 API 可 以 称 为 RESTful AP1? 


7.2 RESTful API 应 用 示例 


如 果 没 有 进行 特殊 配置 ，Docker 会 监听 本 机 的 一 个 unix socket， 默 认为 unix: ///var/run/docker.sock。 细 心 的 读者 可 能 会 想 ， 那 我 是 不 是 能 够 直接 往 这 个 socket 发 消息 来 使 用 Docker API? 一 一 当 
然 ! 示例 代码 如 下 : 


$ echo -e "GET /images/json HTTP/1.0\r\n" | nc -U /var/run/docker.sock 
HTTP/1.0 200 OK 

Content-Type: application/json 

Date: Mon, 01 Jun 2015 11:14:55 GMT 

Content- Tength 1176 
430269997, "Idm "da69c3http: //www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/OEBPS/Text/...","Labels":{},"ParentId":"7b424fht 
ivi "Size":0,"VirtualSize":542753605} 

区 "ae8f33http: //www.hzcourse.cor/resource/readBook?path=/openresources/teach_ebook/uncompressed/15532/OEBPSVText/..."v"Labels":{j,"ParentId":"f83879ht 
"RepoTags": 已 Ubuntu: teusty ] "Size":1675,"VirtualSize":282802523} 

,{"Created":1429308073,"Id":"8c2e06http://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/0EBPS/Text/...","Labels":{},"ParentId":"6ce2e9ht 
"RepoTags": ["busybox: 1atest"] 1 "Size":0,"VirtualSize":2429728}] 


is 示 


由 于 不 能 直接 通过 echo 命 令 向 socket 写 数据 ， 所 以 你 可 能 需要 借助 netcat 来 完成 。 


如 果 仅 是 在 本 机 体验 Docker AP1， 该 方式 已 可 满足 需求 ， 但 这 显然 没 达到 我 们 真正 远程 访问 Docker 的 目标 。 工 欲 善 其 
准备 工作 。 


， 必 先 利 其 器 。 接 下 来 就 介绍 使 用 Docker API 远 程 访问 Docker 前 需要 做 的 一 些 


7.3 API 的 高 级 应 用 


前 文 离散 地 介绍 了 多 个 AP1， 相 信 读 者 已 基本 掌握 Docker API 的 用 法 。 基 本 上 就 是 先 找 准 Endpoint， 然 后 以 正确 的 格式 传递 参数 ， 最 后 以 正确 的 格式 处 理 返回 值 。 本 节 将 模拟 一 个 相对 完整 的 使 用 场 
景 ， 将 Docker APl 串 联 呈 现 。 


7.4 本 章 小 结 


本 章 以 一 个 简单 的 示例 开始 ， 最 后 用 “Hello world” 完 整地 呈现 了 Docker 宣 称 的 “Build，Ship and Run”， 目 的 在 于 帮助 读者 实现 已 有 系统 与 Docker 的 集成 。 


值得 注意 的 是 ，Docker API 与 Docker 一 样 ， 仍 处 于 发 展 阶段 。 对 于 不 同 版 本 的 AP1， 在 某 些 参数 甚至 格式 上 都 有 可 能 产生 较 大 变化 。 到 目前 为 止 ， 几 乎 Docker 的 每 个 版 本 更 新 都 伴 有 API 改 动 ， 因 此 遇 
到 此 类 问题 也 不 用 过 于 紧张 ， 参 考 最 新 官方 文档 或 直接 向 开源 社区 提 1ssue 即 可 。 


第 8 章 ”Docker 安 全 


Docker 自 诞生 以 来 ， 其 安全 性 问题 一 直 饱 受 诉 病 。 随 着 Docker 的 发 展 ， 它 自身 面临 的 挑战 也 越 来 越 大 ， 安 全 问题 也 越 来 越 受 到 人 们 的 关注 。 大 约 在 2014 年 6 月 ， 网 上 一 篇 关于 Docker 安 全 的 博客 显 
示 ，Docker 的 容器 已 经 被 攻破 ， 并 且 能 够 遍历 宿 host 的 文件 了 ， 这 对 Docker 的 商业 化 造成 了 很 大 的 杀伤 力 。 可 见 ， 安 全 问题 必须 高 度 重 视 。 


8.1 深入 理解 Docker 的 安全 


8.1.1 ”Docker 的 安全 性 


Docker 的 安全 性 主要 体现 在 如 下 几 个 方面 : 
' Docker 容 器 的 安全 性 : 这 是 指 容 会 危害 到 host 或 其 他 容 
“ 镜像 的 安全 性 : 用 户 如 何 确保 下 载 下 来 的 镜像 是 可 信 的 、 未 被 壬 改过 的 。 


“ Docker daemon 的 安全 性 : 如 何 确 保 发 送 给 daemon 的 命令 是 由 可 信用 户 发 起 的 。 用 户 通过 CLI 或 者 REST API 向 daemon 发 送 命令 以 完成 对 容器 的 各 种 操作 ， 例 如 通过 docker exec 命 令 删 除 容器 里 的 数据 ， 
因此 需要 保证 client 与 daemon 的 连接 是 可 信 的 。 


这 里 面容 器 的 安全 性 是 最 大 的 问题 ， 也 是 备 受 关 注 的 问题 ， 因 此 下 文 介绍 的 安全 策略 大 多 是 针对 容器 安全 性 的 。 


8.2 ”安全 策略 


正 是 因为 容器 由 于 内 核 


面 隔离 性 差 导 致 安全 性 不 足 ， 所 以 Docker 社 区 开发 了 很 多 安全 特性 ， 业 界 也 总 结 了 一 些 经 验 ， 下 文 将 给 出 一 些 主要 的 安全 策略 。 


8.3 ”安全 加 固 


加 | 


上 一 节 主 要 讲 了 Docker 的 安全 策略 ， 本 节 将 结合 上 一 节 的 安全 策略 ， 从 一 个 实际 的 例子 出 发 ， 实 战 Docker 安 全 加 


8.4 ”Docker 安 全 遗留 问题 


确实 ，Docker 社 区 为 Docker 的 安全 做 了 很 多 的 工作 ， 但 到 目前 为 止 ，Docker 仍 然 还 有 不 少 跟 安 全 相关 的 问题 没有 解决 ， 下 面 列举 其 中 一 些 问题 。 


8.5 ”本 章 小 结 


Docker 的 隔离 性 还 远 达 不 到 虚拟 机 的 水 平 ， 应 该 避免 把 Docker 容 器 当成 虚拟 机 来 使 用 ， 除 非 在 虚拟 机 里 部 署 容器 ， 否 则 一 般 来 说 Docker 容 器 应 该 只 跑 可 信 应 用 。 容 器 的 隔离 能 力 不 是 万 能 的 ， 应 对 才 
是 王道 ， 用 户 应 该 评估 自己 需要 的 安全 等 级 ， 针 对 自身 的 需求 采取 相应 的 安全 策略 。 这 些 安全 策略 主要 是 对 系统 做 减法 ， 通 过 各 种 限制 来 达到 安全 性 ， 这 也 是 最 主流 、 有 效 的 安全 加 固 方法 。 此 外 ， 还 应 该 
保证 内 核 的 安全 和 稳定 ， 并 启用 监控 、 容 错 等 系统 。 


总 之 ，Docker 安 人 全， 任重道远 。 


第 9 章 ”Libcontainer 简 介 


前 面 的 章节 已 经 介绍 了 Libcontainer 是 Docker 的 一 个 重要 组 件 ， 它 做 了 很 多 更 底层 的 容器 管理 工作 ， 使 得 Docker 可 以 专注 于 上 层 功 能 的 设计 和 实现 。 其 实 Libcontainer 是 作为 一 个 单独 的 开源 项 目 来 管 
理 和 维护 的 。DockerCon2015 发 布 了 OCP (Open Container Project， 已 改名 为 OCl， 即 Open Container Initiative) 及 其 中 的 项 目 runC (一 个 基于 Libcontainer 的 容器 runtime 管 理工 具 ) ， 而 这 会 使 
Libcontainer 得 到 更 广泛 的 关注 ， 所 以 我 们 认为 有 必要 单独 开辟 一 个 章节 来 对 Libcontainer 做 一 个 相对 全 面 的 介绍 ， 以 便 读者 更 好 地 理解 Docker 的 核心 组 件 及 火热 的 OCI。 


9.1 引擎 的 引擎 


9.1.1 关于 容器 的 引擎 


众所周知 ，Docker 的 “Build，Ship and Run” 都 是 针对 容器 而 言 的 。 在 各 类 文档 和 资料 中 ， 也 都 将 Docker 描 述 为 一 种 容器 的 运行 和 管理 工具 ， 在 一 些 以 Docker 为 基础 的 其 他 生态 圈 开 源 项 目的 全 套 
解决 方案 中 (比如 Docker 公 司 的 Orca 等 ) ， 也 常常 直接 用 engine 这 样 的 词 来 描述 Docker 项 此 ， 我 们 可 以 将 Docker 理 解 为 一 种 容器 引擎 。 在 对 Docker 的 组 件 和 原理 做 了 更 加 细致 的 分 析 后 ， 我 们 会 
发 现 如 果 把 “容器 引擎 ”定义 为 一 种 驱动 容器 创建 、 修 改 、 监 听 和 删除 等 操作 的 工具 ， 那 么 Libcontainer 更 适合 被 称 作为 “容器 引擎 ”， 因 为 Docker 所 有 对 容器 生命 周期 进行 管理 的 操作 都 是 通过 调 
Libcontainer 的 APl 来 实现 的 。 从 这 个 层面 来 说 ，Libcontainer 才 是 真正 的 容器 引擎 ， 而 Docker 是 建立 在 引擎 之 上 、 更 高 层面 、 功 能 也 更 强大 的 容器 管理 工具 。 


加 


9.2 Libcontainer 的 技术 原理 


Docker 是 如 何 创建 容器 的 ?相信 大 多 数 人 都 提 过 这 个 问题 ， 特 别 是 想 了 解 Docker 实 现 原理 的 读者 ， 但 是 当 你 想 从 代码 中 找 这 个 问题 的 答案 时 ， 会 发 现 很 难 梳理 清楚 。 前 面 说 过 ， 容 器 的 创建 、 删 除 等 
生命 周期 管理 操作 都 是 通过 Libcontainer 来 实现 的 ， 而 其 中 又 以 容器 创建 最 为 复杂 和 关键 ， 所 以 本 章 会 带领 读者 通过 分 析 容 器 创建 的 问题 ， 来 剖析 Libcontainer 的 技术 原理 。 


9.3 ”关于 runC 


在 DockerCon 2015 期 间 ，Docker 官 方 宣布 成 立 了 Linux Foundation 下 的 一 个 开源 组 织 OCI (Open Container Initiative) ， 而 runC 就 是 Docker 公 司 贡献 给 OCI 的 开源 项 目 ， 其 定位 是 OCI 中 的 容器 
runtime 工 具 。 很 多 人 已 经 知道 ，runC 就 是 从 Libcontainer 演 变 而 来 的 ， 而 且 在 Docker 的 路 标 中 ， 已 经 说 明 未 来 会 使 用 runC 奉 代 Libcontainer 作 为 容器 的 runtime 工 具 。 所 以 我 们 有 必要 对 runC 有 一 个 细致 
而 全 面 的 了 解 。 


9.4 本章 小 结 


Libcontainer 作 为 Docker 底 层 的 容器 引擎 ， 实 现 了 Docker 对 容器 的 最 核心 需求 。 对 Libcontainer 的 了 解 ， 可 以 帮助 用 户 更 好 地 理解 Docker 和 容器 技术 的 结合 。 另 外 ，Libcontainer 作 为 一 个 独立 的 开 
源 项 目 ， 跟 Docker 的 夺 合 性 很 低 ， 所 以 本 书 作为 介绍 Docker 的 书籍 ， 没 有 对 Libcontainer 展 开 更 多 的 篇 幅 做 细致 的 介绍 ， 希 望 通过 这 些 有 限 的 内 容 ， 可 以 为 读者 解决 一 些 疑惑 。 


第 10 章 ”Docker 实 战 


和 前 些 章节 不 同 ， 本 章 将 介绍 Docker 的 项 目 开发 流程 ， 重 在 应 用 和 实例 。 在 开始 本 节 内 容 之 前 ， 首 先 来 了 解 一 下 Docker 镜 像 的 开发 过 程 ， 如 图 10-1 所 示 。 


说 像 修改 后 
docker push 


Docker Hub 


绕 像 本 地 开发 环境 


镜像 pull 
docker pull 


图 10-1 Docker 镜 像 开 发 流程 


部 罩 镜 像 


docker run 


从 前 些 章节 已 知道 ，Docker Hub 是 用 来 存储 Docker 镜 像 的 ，Docker 本 地 开发 环境 是 用 来 开发 镜像 的 。 通 常 的 开发 流程 是 先 从 Docker Hub 中 获取 到 基础 镜像 ， 之 后 在 这 个 镜像 的 基础 上 做 开发 以 满足 
然后 就 可 以 push 到 Docker Hub 中 ， 且 本 地 无 需 保留 镜像 的 备份 (相关 的 源码 、Dockerfile 还 是 需要 留 的 ) ， 这 样 开发 工作 就 完成 了 。 部 署 的 时 候 直接 


一 定 的 需求 或 提供 某 种 服务 ， 并 由 此 产生 新 的 镜像 ， 
将 开发 好 的 镜像 pull 下 来 ， 然 后 使 用 docker run 命 令 部 署 ， 或 者 借助 其 他 部 署 工 


本 章 首先 会 介绍 Dockerfile 的 基本 知识 和 语法 ， 


毕竟 容器 的 构建 是 离 不 开 Dockerfile 的 。 然 后 会 创建 一 个 基 了 


(比如 docker-compose) 。 


Web 服务 器 的 工程 ， 并 为 该 Web 前 端 挂 上 后 端 服务 器 ， 后 端 由 几 个 独立 的 模块 组 成 。 在 该 


工程 中 ， 每 个 模块 都 会 是 一 个 镜像 ， 这 些 镜像 协同 工作 ， 通 过 REST API 通 信 ， 相 互 独立 ， 共 同 完成 一 个 Web 站 点 前 台 和 后 台 工 作 。 该 工程 使 用 docker-compose 同 时 管理 几 个 容器 ， 是 Docker 容 器 管理 的 


典型 范例 。 


10.1 ”Dockerfile 简 介 


下 面 先 来 探讨 Dockerfile 的 构成 和 语法 。 通 过 本 节 的 学 习 ， 读 者 可 以 轻松 地 写 出 自己 需求 的 Dockerfile。 本 节 由 浅 入 深 ， 由 一 个 简单 例子 开始 ， 由 浅 入 深 地 介绍 Dockerfile 的 各 种 命令 ， 不 会 觉得 难以 入 


手 。 


10.2 ”基于 Docker 的 Web 应 用 和 发 布 


到 这 里 ， 相 信 大 家 对 Docker 已 经 有 了 一 定 的 认识 。 本 节 以 实战 为 主 ， 将 以 Docker 部 署 一 个 HTTPS 的 Web 站 点 为 例 ， 为 大 家 展示 支持 Docker 的 开发 流程 。 我 们 将 把 一 个 Web 工 程 项 目 部 署 为 一 个 以 


Tomcat 为 服务 器 的 支持 HTTPS 的 Web 站 点 。 其 原理 和 在 普通 服务 器 上 部 署 类 似 ， 只 需要 将 自己 开发 的 软件 包 放 到 Tomcat 工 程 
要 导入 到 容器 中 。 


10.3 为 Web 站 点 添加 后 台 服 务 


在 后 续 章 节 会 介绍 docker-compose 工 具 , 使 


台 服 务 的 。 假 如 我 们 的 Web 站 点 挂 了 三 个 后 台 服 务 : 


“后 侣 Service (bkservice) 


“ 认证 服务 器 (auth) 


“MYSQL 数据 库 (MySQL) 


其 中 后 台 Service 是 用 来 为 Web 站 点 服务 的 ， 


体 功能 由 Web 的 功能 而 定 。 认 证 服务 器 是 为 了 解 耦 


下 挂 的 数据 库 。 其 中 每 个 模块 都 是 独立 的 ， 在 本 工程 中 ， 我 们 会 将 每 个 模块 都 制作 成 一 个 镜像 。 下 面 看 看 整体 工程 框架 ， 如 加 


户 认证 的 服务 器 ， 两 者 通过 发 送 HTTP 请 求 API 达 到 认证 鉴 权 的 


录 下 即 可 。 不 同 的 是 ，Tomcat 服 务 器 要 在 容器 中 启动 ， 相 应 的 工程 源码 也 


docker-compose 可 以 轻松 地 管理 多 个 容器 ， 各 个 容器 可 完成 不 同 的 任务 和 功能 。 这 里 还 是 以 Web 站 点 为 例 来 进行 说 明 ， 一 个 Web 站 点 是 不 可 能 没有 后 


10-3 所 示 。 


的 。MySQL 是 数据 库 ， 是 bkservice 


bkservice 


图 10-3 ” Docker 实战 工程 模块 
浏览 器 和 前 端 交互 ， 普 通 的 前 端 请 求 均 由 Tomcat 服 务 器 响应 (比如 请 求 Web、 显 示 控 件 等 ) 。 但 是 需要 
HTTP 请 求 后 ， 需 要 发 送 API 到 auth 模 块 ， 从 而 验证 用 户 的 身份 以 排除 非法 用 户 。 验 证 通过 后 ，bkservice 需 


后 台 协 作 的 API 则 会 转发 到 后 台 ， 也 就 是 转发 给 bkservice 模 块 。 当 然 bkservice 模 块 每 次 收 到 
户 操作 、 资 源 等 数据 存储 到 MySQL 的 数据 库 中 。 


的 


将 
因为 本 书 是 介绍 Docker 的 ， 所 以 Web 前 端 或 后 台 服 务 器 开发 相关 的 内 容 不 会 详 述 ， 且 这 个 项 目 只 是 设计 了 简 生 


例 场景 ， 并 未 真正 实现 具体 功能 ， 仅 


展示 了 框架 而 己 。 


10.4 本章 小 结 


目前 ，Docker 已 经 越 来 越 流 行 ， 将 来 掌握 Docker 可 能 成 为 不 少 工作 的 必 备 技能 。 和 和 


其 他 章节 不 同 ， 本 章 注重 实例 和 运用 ,3 
者 认为 ， 最 好 的 学 习 方式 就 是 实践 ， 所 以 读者 需要 在 阅读 Docker 相 关 书 籍 的 同时 ， 多 动手 ， 多 练习 ， 才 能 更 好 地 驾驭 Docker。 


要 以 工程 实例 的 方式 ， 介 绍 了 Docker 的 开发 流程 。 对 于 Docker 的 学 习 ， 笔 


第 11 章 ”Docker 集 群 管理 


本 章 


要 介绍 Docker 社 区 中 提供 的 三 大 编排 工 


: Compose、Machine 和 Swarm， 以 及 如 何 利 


这 三 大 工 : 


进行 Docker 的 集群 管理 。 
' Docker Compose 是 用 来 组 装 多 容器 应 用 的 工具 ， 可 以 在 Swarm 集群 中 部 署 分 布 式 应 用 。 


* Docker Machine 是 支持 多 平台 安装 Docker 的 工具 ， 使 用 Docker Machine， 可 以 很 方便 地 在 笔记 本 、 云 平台 及 数据 中 心里 安装 Docker。 


" Docker Swarm 是 Docker 社 区 原生 提供 的 容器 集群 管理 工具 。 


11.1 Compose 


11.1.1 Compose 概 述 


在 实际 的 生产 环境 中 ， 一 个 应 用 往往 由 许多 组 件 构成 ， 而 Docker 的 最 佳 实践 是 一 个 容器 只 运行 一 个 进程 ， 因 此 要 运行 多 个 组 件 则 必须 运行 多 个 容器 。 在 一 个 由 多 容器 构成 的 应 用 里 ， 我 们 需要 一 个 有 效 
的 工具 来 定义 一 个 应 用 由 哪些 容器 组 成 ， 以 及 定义 这 些 容器 之 间 如 何 关联 。 为 了 解决 以 上 问题 ，Compose 便 应 运 而 生 。 


简单 来 讲 ，Compose 是 用 来 定义 和 运行 一 个 或 多 个 容器 应 用 的 工具 。 使 
容器 ， 并 自动 把 多 个 容器 互相 关联 起 来 。 


Compose 可 以 简化 容器 镜像 的 建立 及 容器 的 运行 。Compose 使 用 Python 语 言 开发 ， 非 常 适合 在 单机 环境 里 部 署 一 个 或 多 个 


Compose 是 使 用 YML 文 件 来 定义 多 容器 应 用 的 ， 它 还 会 用 docker-compose up 命令 把 完整 的 应 用 运行 起 来 。docker-compose up 命令 为 应 用 的 运行 做 了 所 有 的 准备 工作 。 从 本 质 上 来 讲 ，Compose 
把 YML 文 件 解析 成 docker 命 令 的 参数 ， 然 后 调用 相应 的 docker 命 令 行 接口 ， 从 而 把 应 用 以 容器 化 的 方式 管理 起 来 。 它 通过 解析 容器 间 的 依赖 关系 来 顺序 地 启动 容器 。 而 容器 间 的 依赖 关系 则 可 以 通过 在 
docker-compose.yml 文 件 中 使 用 “links” 标 记 来 指定 。 


对 开发 环境 的 搭建 、 应 用 服务 的 部 署 和 CI 环境 的 搭建 来 说 ，Compose 非 常 不 错 。 但 是 由 于 Compose 目 前 还 处 于 开发 阶段 ， 因 此 和 暂 不 建议 在 生产 环境 中 使 用 。 


Compose 的 使 用 基本 上 遵循 以 下 三 步 : 


1) 用 Dockerfile 文 件 定义 应 用 的 运行 环境 ， 以 便 应 用 在 任何 地 方 都 可 以 复制 ; 基于 这 个 Dockerfile， 可 以 构建 出 一 个 Docker 镜 像 。 


2) 用 docker-compose.yml 文 件 定义 应 用 的 各 个 服务 ， 以 便 这 些 服务 可 以 作为 此 应 用 的 组 件 一 起 运行 。 


3) 最 后 ,执行 docker-compose up 命令 ， 这 样 Compose 就 会 创建 和 运行 整个 应 用 了 。 


11.2 Machine 


11.2.1 ”Machine 概 述 


Docker Machine 是 一 个 简化 Docker 安 装 的 命令 行 工具 ， 通 过 一 个 简单 的 命令 行 即 可 在 相应 的 平台 上 安装 Docker， 为 用 户 提供 了 灵活 的 功能 ， 使 得 用 户 可 以 在 任意 主机 (不 管 是 笔记 本 、 数 据 中 心中 的 
机 ， 还 是 云 主机 ) 上 运行 Docker 容 器 。 这 大 幅度 减少 了 开发 者 手动 设置 、 编 写 自 定义 脚本 的 时 间 ， 而 且 还 可 以 控制 Machine 创 建 的 Docker 主 机 。 目 前 Docker Machine 也 支持 Swarm 集群 。 简 单 来 讲 ， 
一 个 Docker Machine 就 是 一 个 Docker host 主 机 和 经 过 配置 的 Docker client 的 结合 体 。 


从 技术 上 来 讲 ，Docker Machine 是 一 个 框架 ， 比 较 开 放 。 对 于 任何 提供 虚拟 机 服务 的 平台 ， 只 要 在 这 个 框架 下 开发 针对 该 平台 的 驱动 ，Docker Machine 就 可 以 与 其 交互 ， 可 在 该 平台 上 执行 创建 、 删 
除 Machine 等 操作 ， 并 且 可 控制 Machine 的 行为 如 停止 、 启 动 等 。 


Docker Machine 的 软件 框架 如 图 11-1 所 示 。 
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图 11-1 Machine 架 构图 


11.3 Swarm 


11.3.1 ”Swarm 概述 


Swarm 是 Docker 社 区 提供 的 原生 支持 Docker 集 群 的 工具 。 它 可 以 把 多 个 Docker 主 机 组 成 的 系统 转换 成 为 单一 的 虚拟 Docker 主 机 。Swarm 对 外 提供 两 种 AP1， 一 种 是 标准 的 Docker APl， 比 如 
Dokku、Compose、Krane、Flynn、Deis、DockerUl、Shipyard、Drone、Jenkins 等 ， 当 然 也 包括 Docker Client， 它 们 都 可 以 通过 Swarm 和 Docker 集 群 进行 通信 ; 另 一 种 是 Swarm 的 集群 管理 AP|， 


于 集群 的 管理 。 


Swarm 从 设计 之 初 就 遵循 “swap，plug and play” 的 原则 。 比 如 ， 你 可 以 使 用 喜欢 的 调度 系统 来 蔡 换 Swarm 中 原生 的 调度 系统 。 这 种 设计 原则 使 Swarm 的 扩展 变 得 非常 容易 。 


11.4 ”Docker 在 OpenStack 上 的 集群 实战 


OpenStack 是 一 个 开源 的 云 计算 管理 平台 项 目 ， 由 Nova、Neutron、Glance、Keystone 和 Cinder 等 组 件 组 合 协 同 工 作 ， 支 持 几 乎 所 有 类 型 的 云 环 境 ， 提 供 实 施 简单 、 可 大 规模 扩展 、 丰 富 、 标 准 统一 
的 云 计算 管理 平台 。 这 里 演示 如 何 使 用 前 面 介绍 的 Compose、Machine 和 Swarm 工 具 把 Wordpress 这 个 软件 部 署 在 基于 OpenStack 云 平台 的 Docker 集 群 里 。 


在 这 一 节 的 演示 里 ， 采 用 Consul 作 为 Swarm 的 Discovery Service 模 块 。Consul 是 HashiCorp 公 司 推出 的 开源 项 目 ， 用 于 实现 分 布 式 系统 的 服务 发 现 与 配置 。 与 其 他 分 布 式 服务 注册 与 发 现 的 方案 相 
比 ，Consul 称 得 上 是 “一 站 式 ” 解 决 方案 ， 因 为 它 内 置 了 服务 注册 与 发 现 框架 、 分 布 一 致 性 协议 、 运 行 状态 检查 、Key/Value 存 储 、 多 数据 中 心 等 ， 所 以 不 再 需要 依赖 其 他 工具 ， 使 用 起 来 也 比较 简单 。 


利用 Consul 实 现 服务 的 注册 与 发 现 ， 需 要 建立 Consul Cluster。 在 Consu| 方 案 中 ， 每 个 提供 服务 的 节点 上 都 要 部 署 和 运行 Consul 的 agent， 所 有 运行 Consul agent 节 点 的 集合 会 构成 Consu 
Cluster。Consul agent 有 两 种 运行 模式 : Server 和 Client。 这 里 的 Server 和 Client 只 是 在 Consul 集 群 层面 的 区 分 ， 与 搭建 在 Cluster 之 上 的 应 用 服务 无 关 。 以 Server 模 式 运 行 的 Consul agent 节 点 用 于 维护 
Consul 集 群 的 状态 。 


以 下 是 在 OpenStack 上 搭建 Docker 集 群 的 主要 步骤 。 


(1) 创建 虚拟 机 


首先 使 用 docker-machine create 命 令 创建 6 个 虚拟 机 ， 其 中 虚拟 机 1 用 作 Swarm 的 Master， 虚 拟 机 2 用 作 Consu| 的 服务 发 现 ， 虚 拟 机 3~5 用 作 Swarm 的 节点 。 使 用 docker-machine create 命 令 创 建 虚 
拟 机 的 时 候 ， 驱 动 参数 选择 Openstack， 所 创建 的 虚拟 机 要 携带 身份 认证 URL、 租 户 、 镜 像 、 网 络 和 安全 组 等 信息 ， 具 体 命令 如 下 


# docker-machine create -d openstack --openstack-insecure --openstack-auth-url=https://identity.az0.dcl.domainname.com:443/identity/v2.0 --openstack-username=cloud admin --oper 
Creating machinehttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/OEBPS/Text/... 
To see how to connect Docker to this machine, run: docker-machine linux-amd64 env lfkdockermachine6 


其 他 具体 的 参数 选项 请 参阅 docker-machine 的 命令 帮助 文档 ， 这 里 不 再 歼 述 。 运 行 完 以 上 命令 ， 通 过 docker-machine ls 命令 ， 可 以 看 到 所 创建 的 6 个 虚拟 机 : 


# docker-machine ls 


NAME ACTIVE DRIVER STATE URL SWARM 
lfkdockermachine openstack Running tcp://100.64.0.31:2376 
lfkdockermachinel openstack Running tcp://100.64.0.34:2376 
lfkdockermachine2 openstack Running tcp://100.64.0.35:2376 
lfkdockermachine3 openstack Running tcp://100.64.0.36:2376 
lfkdockermachine4 openstack Running tcp://100.64.0.37:2376 
lfkdockermachine5 openstack Running tcp://100.64.0.39:2376 
lfkdockermachine6 openstack Running tcp://100.64.0.38:2376 


在 我 们 的 环境 里 ， 一 共 新 创建 了 6 个 Docker Machine， 最 新 创建 的 Machine 的 编号 为 6。 还 可 以 通过 OpenStack 的 nova list 命 令 列 出 在 Openstack 上 创建 的 虚拟 机 信息 : 


# nova list --all telgrep lfk 
65ad59c7-39df-4cbc-8957-eb2e396ac8d6 | lfkdockermachine 


ACTIVE | 本 | Running | docker-VM network=192.168.10.93, 100.64.0.31 
aeba4282-3dce-4064-bc78-b9fa4a81f86f | lfkdockermachinel 

ACTIVE 下 > | Running | docker-VM network=192.168.10.101，100.64.0.341 
44f30cba-2679-490c-885e-95faea89169f | lfkdockermachine2 

ACTIVE Mi | Running | docker-VM network=192.168.10.102, 100.64.0.35 
066fel5a-1lce3-4e17-8201-01bb68a034a5 | lfkdockermachine3 

ACTIVE | | Running | docker-VM network=192.168.10.107, 100.64.0.36 
08eb527c-764d-4ba0-80d1l-c7f9ca58ce49 | lfkdockermachine4 

ACTIVE | | Running | docker-VM network=192.168.10.104, 100.64.0.37| 
221e7e12-2cf9- 439a- 970b-2clfda841476 | lfkdockermachine5 

ACTIVE | | Running | docker-VM network=192.168.10.106, 100.64.0.39]| 
56c6054c-c6d8- 4f3c- b125-1e800e0aae52 lfkdockermachine6 

ACTIVE | | Running | docker-VM network=192.168.10.108 


从 命令 的 输出 可 以 看 到 ， 最 后 一 项 即 为 我 们 最 后 创建 的 Docker Machine “lfkdockermachine6”。 
(2) 搭建 Swarm 的 Discovery Service 模 块 


在 之 前 Docker Machine 创 建 的 Ifkdockermachine2 上 通过 consul 命 令 搭 建 Consul Server 节 点 。 


# consul agent -server -bootstrap-expect=1 -data-dir=data -bind=192.168.10.102 -client=192.168.10.102 & 
[1] 3295 
==> WARNING: BootstrapExpect Mode is specified as 1; this is the same as Bootstrap mode. 
WARNING: Bootstrap mode enabled! Do not enable unless necessary 
WARNING: It is highly recommended to set GOMAXPROCS higher than 1 
Starting Consul agenthttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/0EBPS/Text/... 
Starting Consul agent RPChttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/0EBPS/Text/... 
Consul agent running! 
Node name: 'lfkdockermachine2' 
Datacenter: "dcl' 
Server: true (bootstrap: true) 
Client Agdr: 192.168.10.102 (HTTP: 8500, HTTPS: -1, DNS: 8600, RPC: 8400) 
Cluster Addr: 192.168.10.102 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 
Atlas: <disabled> 
==> Log data will now stream in as it occurs: 
2015/08/07 14:52:32 [INFO] serf: EventMemberJoin: lfkdockermachine2 192.168. 10.102 
2015/08/07 14:52:32 [INFO] serf: EventMemberJoin: lfkdockermachine2.dcl 192. 168.10.102 
2015/08/07 14:52:32 [INFO] raft: Node at 192.168.10.102:8300 [Follower] entering Follower state 
2015/08/07 14:52:32 [INFO] consul: adding server lfkdockermachine2 (Addr: 192 .168.10.102:8300) (DC: dc1) 
2015/08/07 14:52:32 [INFO] consul: adding server lfkdockermachine2.dcl (Addr: 192.168.10.102:8300) (DC: dcl) 
2015/08/07 14:52:32 : failed to sync remote state: No cluster leader 
2015/08/07 14:52:34 Heartbeat timeout reached, starting election 
2015/08/07 14:52:34 Node at 192.168.10.102:8300 [Candidate] entering Candigdate state 
2015/08/07 14:52:34 Election won. Tally: 1 
2015/08/07 14:52:34 [INFO] raft: Node at 192.168.10.102:8300 [Leader] entering Leader state 
2015/08/07 14:52:34 [INFO] consul: cluster leadership acquired 
2015/08/07 14:52:34 [INFO] consul: New leader elected: lfkdockermachine2 
2015/08/07 14:52:34 [INFO] raft: Disabling EnableSingleNode (bootstrap) 
2015/08/07 14:52:34 [INFO] consul: member 'lfkdockermachine2' joined, marking health alive 
2015/08/07 14:52:35 [INFO] agent: Synced service 'consul!' 


在 lfkdockermachine3、lfkdockermachine4 和 Ifkdockermachine5 上 搭建 Consul Client 节 点 。 


# 
EE 


consul agent -data-dir=data -node=lfkdockermachine3 -join=192.168.10.102 -bind=192.168.10.107 -client=192.168.10.107 & 
] 8441 
> WARNING: It is highly recommended to set GOMAXPROCS higher than 1 
> Starting Consul agenthttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/0EBPS/Text/... 
> Starting Consul agent RPChttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/O0EBPS/Text/... 
> Joining clusterhttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/OEBPS/Text/... 
Join completed. Synced with 1 initial agents 
==> Consul agent running! 
Node name: 'lfkdockermachine3' 
Datacenter: "dcl' 
Server: false (bootstrap: false) 
Client Agdr: 192.168.10.107 (HTTP: 8500, HTTPS: -1, DNS: 8600, RPC: 8400) 
Cluster Addr: 192.168.10.107 (LAN: 8301, WAN: 8302) 
Gossip encrypt: false, RPC-TLS: false, TLS-Incoming: false 
Atlas: <disabled> 
==> Log data will now stream in as it occurs: 
2015/08/07 14:53:29 [INFO] serf: EventMemberJoin: lfkdockermachine3 192.168. 10.107 
2015/08/07 14:53:29 [INFO] agent: (LAN) joining: [192.168.10.102] 
2015/08/07 14:53:29 [INFO] serf: EventMemberJoin: lfkdockermachine2 192.168. 10.102 
2015/08/07 14:53:29 [INFO] agent: (LAN) joined: 1 Err: <nil> 
[ED 
[ 


2015/08/07 14:53:29 [ERR] agent: failed to sync remote state: No known Consul servers 
2015/08/07 14:53:29 [INFO] consul: adding server lfkdockermachine2 (Addr: 192 .168.10.102:8300) (DC: dc1) 


现在 ， 在 Consul Server 节 点 Ifkdockermachine2 上 能 看 到 Consul Client 节 点 加 入 了 集群 的 信息 ， 如 下 : 


2015/08/07 14:54:22 [INFO] serf: EventMemberJoin: lfkdockermachine3 192.168.10.107 
2015/08/07 14:54:22 [INFO] consul: member 'lfkdockermachine3' joined, marking health alive 
2015/08/07 14:57:47 [INFO] serf: EventMemberJoin: lfkdockermachine4 192.168.10.104 
2015/08/07 14:57:47 [INFO] consul: member 'lfkdockermachine4' joined, marking health alive 
2015/08/07 14:59:46 [INFO] serf: EventMemberJoin: lfkdockermachine5 192.168.10.106 
2015/08/07 14:59:46 [INFO] consul: member 'lfkdockermachine5' joined, marking health alive 


在 Consul Client 节 点 上 也 能 看 到 后 加 入 的 节点 信息 ， 比 如 在 节点 Ifkdockermachine3 上 看 到 后 面 加 入 的 Ifkdockermachine4 和 Ifkdockermachine5， 如 下 : 


2015/08/07 14:56:54 [INFO] serf: EventMemberJoin: lfkdockermachine4 192.168.10.104 
2015/08/07 14:58:53 [INFO] serf: EventMemberJoin: lfkdockermachine5 192.168.10.106 


在 Consul Server 节 点 Ifkdockermachine2 上 可 以 通过 consul members 命 令 列 出 整个 集群 的 综合 信息 ， 如 下 : 


# consul members -rpc-addr=192.168.10.102:8400 
2015/08/07 15:02:49 [INFO] agent.rpc: Accepted client: 192.168.10.102:53504 
Type Build Protocol 


Node 

lfkdockermachine4 
lfkdockermachine5 
lfkdockermachine2 
lfkdockermachine3 


Address 
192.168 
192.168 
192.168 
192.168 


.10.104:8301 
.10.106:8301 
.10.102:8301 
-10.107:8301 


Status 
alive 
alive 
alive 
alive 


client 0.5.0 2 
client 0.5.0 2 
server 0.5.0 2 
client 0.5.0 2 


(3) 搭建 Swarm 集群 


三 | 


前 面 已 经 创建 了 Consul 的 服务 发 现 模块 ， 现 在 可 以 使 


全 全 


swarm Managenp’s 


在 之 前 Docker Machine 创 建 的 fkdockermachine1 上 指定 使 用 Consul 的 服务 发 现 功能 和 Swarm 的 Random 调 度 策 略 了 。 
为 了 简化 Swarm 集群 的 搭建 流程 ， 这 里 直接 通过 官方 提供 的 swarm 可 执行 程序 来 创建 Swarm Master， 具 体 命令 如 下 : 


# swarm manage consul://192.168.10.102:8500/swarm --strategy "random" -H tcp://0.0.0.0:2375 & 


[2] 3307 


INFO[0000] Listening for HTTP 


addr=0.0.0.0:2375 proto=tcp 


下 面 通过 使 用 swarm join 命令 把 之 前 通过 Docker Machine 创 建 的 fkdockermachine3、lfkdockermachine4 和 Ifkdockermachine5 加 入 到 Swarm 集群 。 


# swarm join consul://192.168.10.102:8500/swarm --addr=192.168.10.107:2375 & 


[2] 8449 


INFO[0000] Registering on the discovery service every 20shttp://www.hzcourse.com/resource/readBook?path=/openresources/teach ebook/uncompressed/15532/OEBPS/Text/... addr=192.1 


在 Swarm Master 上 可 以 看 到 Swarm 节 点 加 入 的 信息 ， 如 下 : 


INFO[0147] Registered Engine lfkdockermachine3 at 192.168.10.107:2375 
INFO[0211] Registered Engine lfkdockermachine4 at 192.168.10.104:2375 
INFO[0263] Registered Engine lfkdockermachine5 at 192.168.10.106:2375 


也 可 以 在 Swarm Master 通 过 swarm list 命 令 查看 所 创建 集群 节点 的 列表 。 


# swarm list consul://192.168.10.102:8500/swarm 


192.168.10.104:2375 
192,168.10.106:2375 
T926168.10.107:2375 


(4) 用 Compose 部 署 WordPress 


WordPress 是 一 款 个 人 博客 系统 ， 由 Web 前 端 和 MySQL 数 据 库 搭建 的 后 台 组 成 ， 抽 象 为 Web 服务 和 DB 服务 。 下 | 


通过 之 前 介绍 的 docker-compose.ym| 来 定义 WordPress 两 个 服务 之 间 的 关系 : 


web: 
build: 


command: php -S 0.0.0.0:8000 -t /code 


ports: 
— "8000:800 


lm 


image: orchardup/mysql 


environment: 


MYSQL DATABASE: wordpress 


然后 通过 docker-compose up 命令 来 部 署 WordPress 博 客 系统 : 


# docker-compose up 


wordpress db 1 is up-to-date 
wordpress web 1 is up-to-date 
Attaching to wordpress db 1, wordpress web 1 


现在 访问 Swarm Master 查 看 应 用 WordPress 是 否 部 署 在 节点 Ifkdockermachine3 上 了 ， 这 时 会 启动 两 个 容器 ， 一 个 运行 Web 前 端 ， 一 个 运行 DB 后 端 : 


# docker -H tcp://192.168.10.102:2375 ps -a 
CONTAINER ID IMAGE 


1377f7460250 wordpress_web 
e14442b4f64f orchardup/mysql 


COMMAND PORTS NAMES 
"php -S 0.0.0.0:8000 192.168.10.107:8000->8000/tcp 
"/usr/local/bin/run" 


3306/tcp lfkdockermachine3/wordpress db 1 


lfkdockermachine3/wordpress web 1 


加 注意 


上 面 的 docker ps 的 输出 做 了 调整 ， 并 省 略 了 CREATED 和 STATUS 这 两 列 。 


最 后 可 以 通过 docker 命 令 来 查询 所 搭建 的 Swarm 集群 系统 的 信息 : 


# docker -H tcp://192.168.10.102:2375 info 


Containers: 2 
Images: 7 
Storage Driver: 
Role: primary 
Strategy: random 


Filters: affinity, health, constraint, port, dependency 


Nodes: 3 


lfkdockermachine3: 192.168.10.107:2375 
?.Containers; 2 
?.Reserved CPUs: 0 /1 
?.Reserved Memory: 0 B / 2.03 GiB 
?.Labels: executiondriver=native-0.2, kernelversion=3.13.0-24-generic, opeatingsystem=Ubuntu 14.04 LTS, provider=openstack, storagedriver=aufs 
lfkdockermachine4: 192.168.10.104:2375 
?.Containers: 0 
?.Reserved CPUs: 0 / 1 
?.Reserved Memory: 0 B / 2.03 GiB 
?.Labels: executiondriver=native-0.2, kernelversion=3.13.0-24-generic, operatingsystem=Ubuntu 14.04 LTS, provider=openstack, storagedriver=aufs 
lfkdockermachine5: 192.168.10.106:2375 
?.Containers: 0 
?.Reserved CPUs: 0 /1 
?.Reserved Memory: 0 B / 2.03 GiB 
?.Labels: executiondriver=native-0.2, kernelversion=3.13.0-24-generic, operatingsystem=Ubuntu 14.04 LTS, provider=openstack, storagedriver=aufs 


Execution Driver: 
Kernel Version: 
Operating System: 


CPUs; 3 

Total Memory: 6.09 GiB 
Name: lfkdockermachine2 
ID: 

Http Proxy: 

Https Proxy: 

No Proxy: 


11.5 ”本 章 小 结 


本 章 主要 介绍 了 Docker 社 区 中 提供 的 三 个 重要 的 编排 工具 Compose、Machine 和 Swarm， 以 及 它们 的 应 用 场景 和 使 用 方式 ， 最 后 通过 在 OpenStack 上 搭建 Docker 集 群 来 阐述 这 三 个 工具 的 具体 结合 


使 用 方式 。 由 于 Swarm 的 社区 还 比较 年 轻 ， 工 具 本 身 不 是 很 成 熟 ， 因 此 不 建议 在 生产 环境 中 使 用 。 


想 深入 了 解 这 三 个 工具 ， 可 以 通过 跟踪 社区 的 方式 来 获取 它们 的 最 新 信息 及 发 展 动态 。 


第 12 章 ”Docker 生 态 轿 


设 ，Docker 亦 不 能 例外 。 本 章 将 给 读者 呈现 Docker 生 态 圈 的 现状 ,介绍 生态 圈 中 一 些 比较 重要 的 开源 项 目 ， 并 结合 Docker 的 既定 计划 和 技术 路 线 为 大 家 分 享 生 态 圈 的 未 来 发 


态 圈 有 一 个 概 狐 性 的 认识 。 


12.1 ”Docker 生态 圈 介 绍 


由 于 Docker 容 器 在 应 用 的 开发 、 发 布 和 部 署 上 具有 便捷 性 和 实用 性 ， 因 此 很 快 引起 了 业界 大 厂商 和 初创 公司 的 追捧 ，Docker 生 态 圈 也 由 
aufs 文 件 系统 有 很 好 的 支持 ， 直 到 现在 Ubuntu 也 是 运行 Docker 最 多 的 Linux 操 作 系统 。Google 是 最 早 大 规模 使 用 容器 技术 的 公司 之 一 ， 在 Docker 没 有 出 现 之 前 ，Google 就 有 自己 
术 Imctfy， 在 Docker 出 现 之 后 ，Google 开 发 了 Kubernetes 用 于 支持 对 Docker 容 器 的 调度 、 部 署 和 管理 。Red Hat 为 Docker 的 推广 亦 起 了 很 大 的 作用 ，Red Hat 支 持 的 Fedora 社 


前 面 章节 已 经 从 Docker 的 使 用 、Docker 的 主要 功能 特性 以 及 支撑 Docker 的 底层 容器 技术 和 镜像 分 层 原理 等 各 方面 对 Docker 做 了 全 


CoreOS 都 宣布 支持 Docker。OpenStack 也 加 入 了 对 Docker 的 支持 ,使 得 Docker 在 云 解 决 方案 中 得 到 了 推广 。 另 外 ， 开 源 PaaS 项 
平台 ， 这 让 更 多 企业 看 到 了 一 个 使 用 Docker 技 术 的 样本 。 


随 着 Docker 的 发 展 ，Docker 公 司 开始 收购 一 些 技术 公司 来 构建 Docker 的 商业 解决 方案 。 比 如 ， 收 购 Kitematic 使 得 Docker 的 安装 和 配 
在 企业 市 场 方面 的 成 熟 经 验 来 加 强 Docker Hub 企 业 版 ; 收购 Orchard 来 加 强 Docker 的 工具 集 ， 特 别 是 Orchard 的 编排 工具 Fig， 可 把 部 分 容器 、 网 


创 公司 SocketPlane 促 进 容器 网 络 方案 的 发 展 等 。 


Docker 还 发 起 了 更 高 层级 的 DockerCon 技 术 大 会 ， 进 一 步 把 业界 的 企业 、 团 体 、 开 发 者 引导 到 这 场 容器 技术 潮流 中 。 表 12-1 引 
态 圈 的 繁荣 程度 。 


表 12-1 Docker 生 态 圈 发 展 趋势 统计 


的 描述 。 但 项 目的 成 功 ， 除 了 技术 本 身 以 外 ， 更 离 不 开 生态 圈 的 建 
展 。 以 此 ， 让 读者 对 Docker 生 


此 发 端 。 最 初 Docker 是 在 Ubuntu 上 开发 的 ， 因 为 Ubuntu 对 


发 的 类 似 LXC 的 容器 技 


区 和 另 一 个 重量 级 社区 


Deis， 基 于 Docker 和 CoreOs 技 术 构建 了 类 似 Heroku 发 布 流程 的 PaaS 


过 程 自动 化 ;收购 持续 集成 服务 提供 商 Koality 以 便 借 鉴 Koality 


络 连 接 和 存储 依赖 间 的 协调 工作 自动 化 ; 收购 SDN 技 术 初 


了 一 组 源 于 DockerCon 2015 的 数据 ， 从 这 些 数据 可 以 一 痪 Docker 生 


时 段 /增长 率 
截止 至 DockerCon 2014 | 截止 至 DockerCon 2015 增长 率 
参考 项 
代码 贡献 者 人 数 460 1300 183% 
GitHub 围绕 Docker 发 起 的 项 目 数 6500 40 000 515% 
Docker 化 的 应 用 数 14 500 150 000 934% 
Docker 官方 支持 的 容器 OS Boot2Docker 
we 到 225 000 3 500 000 1456% 
下 载 量 
镜像 下 载 量 2 750 000 500 000 000 18 082% 
从 上 面 的 回顾 中 可 以 看 到 ，Docker 生 态 圈 实 现 了 业界 从 未 有 过 的 增长 态势 ， 正 是 在 这 种 发 展 状态 下 ，Docker 已 经 成 为 一 个 构建 、 打 包 和 运行 分 布 式 应 用 的 开放 平台 ， 为 程序 员 、 开 发 团队 和 运 维 工 程 
师 提 供 了 通用 的 工具 链 ， 非 常 有 利于 他 们 利用 现代 软件 的 分 布 式 和 网 络 特性 。 图 12-1 (引用 自 Mindmap， 这 里 做 了 部 分 删 减 ) 展示 了 当前 Docker 生 态 圈 的 大 致 分 布 概 狐 。 


块 之 间 没有 太 清晰 的 边界 ， 都 豆 有 交叉 ， 而 且 都 还 在 不 断 发 展 壮大 。 


对 于 网 络 、 镜 像 仓 库 和 安全 ， 本 书 都 有 专门 的 章节 做 详细 介绍 ， 本 章 主 要 挑选 竞争 激烈 的 编排 部 署 、 容 器 操作 系统 和 Paas 平 台 等 几 个 板块 做 相应 的 介绍 。 


12.2 重点 项 目 介绍 


12.2.1 编排 


从 图 12-1 中 可 以 看 到 ，Docker 生 态 圈 已 经 很 庞大 。 除 了 围绕 Docker 引 警 紧 密 发 展 的 网 络 、 镜 像 仓库 和 安全 外 ， 还 有 编排 部 署 、DevOps、PaaS、 大 数据 及 数据 库 和 配置 管理 等 几 大 板块 。 其 实 这 些 板 


在 云 时代 的 今天 ， 分 布 式 应 


引擎 本 身 只 能 提供 在 单机 上 的 镜像 制作 、 上 传 下 载 和 容器 的 启动 停止 等 容器 管理 能 力 ， 还 得 需 


应 用 被 抽象 划分 成 了 多 个 服务 。 具 体 到 Docker 的 实现 上 来 ， 就 是 把 应 
个 服务 之 间 则 以 容器 的 形式 运行 在 云 化 环境 的 多 台 主机 上 。 但 是 如 何 定义 应 


很 普遍 ， 在 Docker 流 行 起 来 后 ， 鉴 于 Docker 的 便捷 特性 ， 业 界 早 就 提出 的 微服 务 架构 理念 得 到 了 实现 的 载体 ， 这 把 分 布 式 应 用 的 形态 又 往 前 推进 了 一 步 。 但 是 ，Docker 


编排 工具 来 管理 分 布 式 部 署 在 集群 上 的 所 有 容器 。 而 这 恰好 使 得 应 
的 各 个 服务 分 别 打包 成 镜像 ， 然 后 以 镜像 的 方式 统一 发 布 ， 最 后 在 生产 环节 编排 部 署 ， 并 向 最 终 
的 各 服务 之 间 的 依赖 关系 ， 各 个 服务 之 间 应 如 何 进行 交互 ， 怎 样 在 云 化 环境 上 进行 跨 主机 编排 部 署 ， 怎 样 调度 服务 来 响应 业务 


的 编排 部 署 更 加 灵活 、 相 互 解 厅 ， 也 让 
户 提供 服务 。 如 此 一 来 ， 应 


请 求 ， 以 及 服务 节点 如 何 根据 业务 请 求 做 动态 伸缩 等 都 是 一 系列 复杂 的 管理 任务 ， 都 面临 着 极 大 的 挑战 。 市 场 的 需求 是 技术 向 前 创新 发 展 的 源 动力 ， 为 了 满足 这 一 系列 需求 ， 涌 现 出 了 功能 强大 的 编排 部 署 
工具 ， 比 如 Google 推 出 Kubernetes、Docker 发 布 Swarm 和 Mesos 推 出 Marathon 等 。 这 其 中 又 涉及 服务 发 现 、 集 群 管理 、 调 度 和 运行 状态 的 监测 等 内 容 。 
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图 12-1 Docker 生 态 圈 分 布 


服务 发 现 让 应 用 的 服务 组 件 能 及 时 获取 其 运行 环境 和 其 他 服务 组 件 的 信息 ， 通 常 采用 全 
务 组 件 就 能 定位 与 之 关联 的 其 他 服务 组 件 ， 以 便 进 行业 务 交互 。 


局 可 访问 的 分 布 式 Key-Value 的 存储 信息 在 服务 组 件 之 间 进 行 信息 (主要 是 配置 信息 ) 共享 。 根 据 这 些 信息 ， 服 


集群 管理 是 控制 多 个 主机 或 容器 的 过 程 ， 包 括 在 集群 中 添加 、 移 除 主机 或 容器 ， 获 取 主 机 或 容器 的 当前 状态 信息 ， 启 动 、 停 止 主机 或 容器 等 操作 。 


调度 的 主要 任务 是 主机 或 容器 的 选择 ， 系 统 会 根据 调度 策略 、 约 束 规则 和 过 滤器 等 来 控制 调度 器 做 出 主机 或 容器 的 选择 。 


运行 状态 监测 ， 是 指 监 测 和 跟踪 集群 里 主机 或 容器 的 运行 状态 。 在 主机 或 容器 故障 时 ， 服 务 发 现 首先 会 更 新 其 状态 ， 调 度 模块 和 管理 模块 则 会 根据 系统 业务 情况 做 出 相应 的 调整 策略 (比如 启动 新 的 容 
器 ) 。 编 排 部 署 工 具 需要 确保 整个 系统 的 状态 总 是 与 开发 或 运 维 人 员 定义 的 配置 一 致 、 匹 配 。 


编排 部 署 工具 是 Docker 生 态 中 运行 、 维 护 和 管理 容器 化 分 布 式 软件 的 关键 组 件 。 当 前 比较 主流 的 选择 有 Swarm、Kubernetes 和 Mesos。 


1.Swarm 


Docker 公 司 在 2014 年 11 月 的 欧洲 DockerCon 技 术 大 会 上 宣布 将 Swarm 作为 
理 ” 一 章 对 Swarm 已 经 做 了 详细 介绍 ， 这 里 就 不 再 蓝 述 。 


官方 集群 管理 工具 ， 这 可 以 说 标志 着 Docker 由 一 个 容器 生命 周期 管理 工具 开始 向 集群 管理 平台 发 展 。 在 “Docker 集 群 管 


2.Kubernetes 


Kubernetes 是 目前 容器 生态 圈 中 最 受 欢 迎 的 编排 部 署 工具 ， 由 Google 公 司 开发 ， 获 得 了 业界 积极 的 响应 。 在 Google 宣 布 开源 Kubernetes 项 目 后 ， 业 界 知名 厂商 纷纷 跟 进 ， 包 括 CoreOS、Red Hat、 
Microsoft、IBM、HP 和 Mesosphere 等 都 宣称 支持 该 项 目 。 


Kubernetes 的 架构 基于 有 多 个 Minion 节 点 的 Master 服 务 器 。 命 令 行 工具 是 kubecfg， 可 通过 它 连 接 Master 服 务 器 的 API Endpoint 来 管理 和 编排 部 署 Slave 节 点 。 具 体 架 构 如 图 12-2 所 示 ( 引 F 
Kubernets 的 GitHub 开 源 项 目 ， 做 了 部 分 简化 ) 。 


运行 在 Kubernetes 中 的 各 个 组 件 定义 如 下 : 

“ Master: 主 控 服 务 器 ， 运 行 Kubernetes 的 管理 进程 ， 包 括 API 服 务 、 备 份 控制 器 和 调度 器 等 。 

“ Minion: 运行 Kubelet 服 务 和 Docker 引 擎 的 主机 ，Minion 接 受 来 自 Master 的 指令 。 

“ Kubelet: Kubernetes 中 节点 层面 的 管理 器 ， 运 行 在 Minion 上 。 

“ Pod: 多 个 容器 的 集合 ， 并 且 这 些 容器 运行 在 同一 个 Minion 上 。Pod 是 Kubernetes 的 最 小 管理 单元 。 
“ Replication Controller: 管理 Pod 的 生命 周期 。 

“ Service: 定义 允许 容器 暴露 出 的 服务 和 端口 ， 还 有 通信 交互 的 外 部 代理 。 


* Kubecfg: 命令 行 接口 ， 与 Mastet 交 互 ， 请 求 应 用 业务 的 部 署 、 管 理 。 


kubecfg(UserCommands) 


scheduling 
actuator 


SCcnedGUlieT 


authorlzation 
authentication 


REST 
(Pods.services， 
rep.controllers) 


replication 
controller 
distributed 
watchable 
Storage 
(via etcd) 


图 12-2 ”Kubernetes 架 构 框 


图 


Minion/Node 


cominer | 


Minion/Node 


服务 的 定义 ， 还 有 约束 和 规则 都 会 在 JSON 文 件 中 描述 。Kubernetes 为 动态 的 Pod 组 提供 静态 IP 地 址 和 DNS 域 名 来 做 服务 发 现 。 当 运行 在 Pod 中 的 容器 连接 这 些 地 址 时 ， 连 接 请 求 会 被 本 地 代理 ( 叫 
kube-proxy， 运 行 在 源 主机 上 ) 转发 到 相应 的 后 台 容器 中 。 


Kubernetes 支 持 用 户 定义 的 运行 状态 检查 ， 这 些 检查 由 运行 在 Minion 上 的 Kubelet 来 执行 ， 以 确保 应 


:HTTP Health Check: Kubelet 调 用 Web Endpoint。 如 果 返 回 码 在 200~399 之 间 ， 则 被 视 为 成 功 。 


* Container exec: Kubernetes 在 容器 中 执行 命令 ， 如 果 返 回 “OK”， 则 认为 是 成 功 的 。 


“TCP socket: Kubelet 尝 试 打 开 一 个 连接 容器 的 socket 并 建立 连接 。 如 果 连 接 建 立 ， 则 认为 是 正常 的 。 


3.Mesos 


正确 地 运行 。Kubernetes 目 前 支持 三 种 类 型 的 运行 状态 检查 。 


Apache Mesos 是 一 个 开源 集群 管理 器 ， 最 初 是 为 支持 高 性 能 计算 业务 而 设计 的 ， 它 简化 了 在 服务 器 共享 资源 池 中 运行 任务 的 复杂 性 。 一 个 典型 的 Mesos 集 群 是 由 一 个 或 多 个 运行 Mesos-Master 的 服 
务 器 和 一 个 运行 Mesos-Slave 的 服务 器 集群 组 成 的 。Slave 向 Master 注 册 自 己 可 以 提供 的 资源 ，Master 与 编排 部 署 Framework 交 互 来 分 发 任务 到 Slave 服 务 器 上 。 以 下 是 Mesos 集 群 各 组 件 的 定义 。 


Master Daemon: Mesos 的 Master 服 务 ， 运 行 在 Mastet 节 点 上 ， 管 理 Slave Daemon。 


Slave Daemon: Mesos 的 Slave 服 务 ， 运 行 在 各 个 Slave 节 点 上 ， 运 行 属于 菜 个 Framewotk 的 任务 。 
“ Framework: 应 用 的 定义 描述 ， 包 括 调度 器 和 执行 器 ， 调 度 器 需要 在 Master 上 注册 以 便 接收 Offer， 执 行 器 在 Slave 上 运行 以 便 启 动 应 用 等 。 


* Offer: Slave 节 点 上 的 资源 列表 ， 每 个 Slave 节 点 发 送 Offer 给 Master，Master 提 供 Offer 给 注册 的 应 用 的 Framework。 


" Task: Framewo 全 调度 的 工作 单元 ， 在 Slave 节 点 上 执行 。 


“ Apache ZooKeeper: 协调 同步 各 个 Master 节 点 。 


Mesos 用 Apache ZooKeeper 保 证 Master 节 点 的 高 可 靠 性 ，ZooKeeper 同 时 测定 所 有 Master 节 点 以 形成 仲裁 。 高 可 靠 性 部 署 需 要 至 少 3 个 Master 节 点 。 系 统 中 的 所 有 节点 ， 包 括 Master 和 Slave， 会 与 


ZooKeeper 交 互 以 选举 当前 的 主 Master。 主 Master 将 执行 所 有 Slave 节 点 的 运行 状况 检查 ， 并 主动 去 除 有 故障 的 节点 。 


Mesos 在 版 本 0.20.0 后 开始 支持 Docker， 具 体 来 说 ， 就 是 通过 为 Mesos 的 Slave 节 点 配置 “containerizers” 选 项 和 在 Framework 中 为 Task 或 Executor 设 定 与 “Containerlnfo” 类 似 的 配置 信息 ， 使 得 
常 驻 服务 器 ”应 用 程序 的 Framework， 用 Scala 语 言 开发 ， 以 “高 可 靠 ” 模 


Task 或 Executor 能 够 以 Docker 容 器 的 方式 运行 。 下 面 以 Marathon 框 架 为 例 进 行 简单 讲解 。Marathon 是 Mesos 的 一 个 适用 了 


式 运行 ， 提 供 启 停 、 扩 展 应 用 的 REST API。 在 Marathon 框 架 下 具体 配置 Docker 容 器 时 需要 至 少 如 下 两 个 步骤 。 


1) 为 Mesos 的 Slave 节 点 设置 Docker 类 型 的 “containerizers”， 命令 如 下 : 


containerizers”， 命令 如 下 : 
$ echo 'docker,mesos' > /etc/mesos-slave/containerizers 


2) 配置 Marathon 运 行 容器 的 类 型 为 Docker、 容 器 的 镜像 ， 以 及 一 些 其 他 容器 的 参数 。 


"container": { 
"type": "DOCKER", 
"docker": { 
"network": "HOST", 
"image": "group/image" 


}, 


12.3 ”生态 圈 的 未 来 发 展 


12.3.1 ”Docker 公 司 的 发 展 和 完善 方向 


从 在 开源 社区 的 首次 发 布 到 DockerCon 2015 及 OCP 的 成 立 ， 再 到 最 近 OCP 更 名 为 OCI，Docker 生 态 在 持续 快速 发 
在 容器 化 进程 中 ，Docker 对 工业 界 与 开发 方式 的 变革 有 着 深远 影响 。 


在 DockerCon 2015 技 术 大 会 上 ，Docker 公 司 的 首席 执行 官 Golub 提 到 Docker 的 未 来 5 步 发 展 计划 : 


1) 构建 一 个 轻 量 级 的 容器 ; 


2) 容器 标准 化 ; 


Wo 


为 容器 创建 生态 圈 ; 


小 


) 使 能 多 容器 的 应 用 模式 ; 


w 


创建 Docker 容 器 管理 平台 。 


1) 重新 打造 程序 员 的 编程 工具 集 ; 


[ 
rt 


J 造 更 好 的 软件 构件 ; 


3) 制定 开放 的 标准 ; 


4) 用 独到 的 方法 解决 企业 的 现实 问题 。 


从 当前 生态 圈 发 展 的 现状 来 看 ，Golub 提 出 的 那 5 步 发 展 计划 中 前 三 个 步骤 已 经 完成 。 但 是 ， 这 并 不 表示 Docker 公 


同时 ， 在 会 上 solomon Hykes 也 提出 了 Docker 在 技术 上 的 4 个 目标 : 


知道 Docker 背 后 的 技术 并 不 高 深 ， 其 备 受 关注 的 原因 主要 是 适应 了 互 


黄 网 时 代 的 需要 ， 为 业内 已 经 发 展 的 云 计算 平台 和 应 


架构 指明 了 一 个 新 的 发 


展 ，Docker 全 然 已 经 成 为 很 多 公司 构建 、 发 布 与 运行 分 布 式 应 用 程序 的 平台 ， 并 且 


司 就 可 以 在 这 有 利于 自己 的 既 有 发 展 趋势 下 ， 轻 松 地 赚 取 当 下 生态 链 的 利益 。 我 们 都 
展 方向 ， 另 外 ，Docker 公 司 的 发 展 本 身 就 得 益 于 社区 和 


生态 圈 的 构建 ， 不 进 则 退 ， 所 以 需要 长 期 经 营 下 去 。 另 外 ， 尽 管 基于 容器 的 微服 务 架构 带 来 了 很 多 好 处 ， 比 如 服务 易于 抽象 和 实现 ， 可 以 独立 维护 服务 等 ， 但 是 这 也 增加 了 系统 中 服务 组 件 之 间 交 互 、 部 署 
“使 能 多 容器 的 应 用 模式 ”和 “创建 Docker 容 器 管理 平台 ”的 发 展 目 标 ， 以 及 Hykes 提 出 的 “用 独到 的 方法 解决 企业 的 现实 问题 ”技术 


和 维护 的 复杂 度 。 所 以 ， 在 DockerCon2015 技 术 大 会 上 Golub 提 出 的 


目标 ， 就 是 用 以 应 对 当前 面临 的 短 板 的 。 而 这 也 需要 生态 圈 的 发 展 ， 导 


力 ， 比 如 扩大 普及 范围 ， 希 望 实现 人 人 都 要 用 、 都 能 和 都 会 用 。 


实 上 ，Golub 并 不 避讳 Docker 现 在 取得 的 成 就 有 赖 了 


生态 圈 和 社区 。 也 正 因为 如 此 ，Docker 公 司 还 会 在 生态 圈 建 设 上 投入 大 量 的 精 


在 这 过 程 中 ， 不 会 简单 从 零 开始 ， 而 是 基于 既 有 工具 集 不 适应 需求 的 部 分 做 增 量 改造 ， 同 时 兼顾 “打造 更 好 的 软件 构件 ”技术 目标 ， 提 高 平台 的 扩展 性 和 工具 的 组 件 化。 因此 ，Docker 公 司 提出 了 插件 
的 理念 ， 在 这 种 理念 下 实现 的 框架 使 得 第 三 方 工具 可 以 以 插件 的 形式 和 Docker 协 作 。 目 前 Docker 在 网 络 、 数 据 卷 、 调 度 器 和 服务 发 现 等 功能 点 上 已 经 设计 并 实现 了 相应 的 插件 接口 ， 一 些 第 三 方 工具 厂商 


也 在 验证 与 Docker 的 对 接 。 从 Docker 的 发 展 目标 和 技术 目标 来 看 ，Docker 还 会 在 既 有 的 项 目 (甚至 开发 新 的 


项 目 ) 中 增加 更 多 的 插件 接口 ， 使 得 更 多 的 工具 集 可 以 加 入 Docker 生 态 圈 。 


同时 ，Docker 还 发 起 了 ETP (Ecosystem Technology Partner) 项 目 计 划 ， 目 前 该 项 目 对 AppDynamics、Datadog、New Relic、Scout、SignalFx 和 Sysdig 几 家 公司 的 应 用 监控 软件 在 Docker 上 的 
集成 做 了 验证 。 这 几 家 公司 的 监控 软件 是 对 分 布 式 软件 做 监控 ， 由 于 基于 微服 务 架构 的 分 布 式 软件 的 伸缩 变化 、 迁 移 等 特性 都 是 不 同 的 ， 因 此 原 有 的 监控 软件 已 无 法 满足 需要 。 而 这 些 监控 软件 与 Docker 集 
成 ， 提 供 了 对 Docker 容 器 化 的 应 用 进行 有 效 监控 的 解决 方案 。ETP 项 目 不 仅 仅 是 聚焦 在 监控 软件 上 ， 也 将 会 在 其 他 领域 付 诸 实施 ， 比 如 日 志 、 配 置 管理 、 网 络 和 存储 等 。 


前 文 阐述 的 Docker 公 司 未 来 的 愿景 目标 以 及 实施 的 策略 、 计 划 和 手段 ， 使 得 业界 因 Docker、 容 器 对 行业 的 正面 影响 甚至 变革 充满 了 期 待 。 


12.4 ”本 章 小 结 


Docker 自 从 开源 后 ， 得 到 了 业界 广泛 的 关注 ， 并 迅速 发 展 ， 形 成 了 庞大 的 生态 圈 。Docker 公 司 的 容器 技术 为 互联 网 时 代 的 云 计 算 技术 之 发 展 指明 了 新 的 方向 ， 它 也 因 
二 


领 力 量 之 一 ,但 是 Docker 生 态 圈 还 有 很 长 的 路 要 走 、 很 多 事 


做 。Docker 生 态 


a 
A 


图 的 发 展 也 充满 了 不 确定 性 ， 甚 至 会 有 


和 场 格 


此 成 为 这 场 技术 潮流 事实 上 的 引 


局 分 化 、 产 生 隐 形 联盟 的 趋势 。 


第 13 章 ”Docker 测 试 


先前 的 章节 主要 以 开发 的 视角 介绍 了 Docker 的 特性 与 实践 。 本 章 第 1 部 分 将 从 测试 的 角度 讨论 Docker 社 区 中 的 测试 框架 、 测 试用 例 执行 、 现 有 社区 测试 用 例 中 有 待 改进 的 方面 ， 以 及 主流 社区 以 外 的 
他 Docker 测 试 套 。 第 2 部 分 将 介绍 Docker 技 术 在 测试 领域 的 应 用 ， 主 要 包括 Docker 对 测试 技术 的 影响 、Docker 技 术 在 测试 中 的 适用 范围 ， 最 后 通过 Jenkins+ Docker 实 例 的 方式 介绍 如 何 配置 与 GitLab 相 
关 的 自动 化 测试 环境 。 


13.1 Docker 自身 测试 


13.1.1 ”Docker 自 身 的 测试 框架 


在 提交 新 的 开发 代码 到 社区 前 ， 通 常 需要 针对 待 提交 的 代码 添加 或 修改 对 应 的 测试 用 例 ， 以 确保 新 添加 的 代码 能 够 得 到 充分 的 测试 。 如 果 patch 只 涉及 一 个 独立 模块 的 修改 ， 则 只 需要 提交 针对 这 个 
patch 的 单元 测试 用 例 ; 如 果 patch 会 涉及 不 同 模块 之 间 的 功能 ， 就 需要 针对 这 个 patch 提 交集 成 测试 用 例 ， 以 便 测试 多 个 不 同 模块 的 接口 。 当 然 也 可 以 提交 只 包含 测试 用 例 的 patch， 用 以 补充 、 完 善 
Docker 的 测试 集 。 在 提交 代码 前 ， 建 议 首先 在 自己 本 地 的 环境 中 运行 测试 用 例 。 


接 下 来 介绍 一 下 Docker 自 身 的 测试 框架 。Docker 主 程序 是 由 Go 语言 编写 的 ， 它 的 测试 框架 自然 也 使 用 了 Go 语言 的 测试 框架 。Go 语 言 具有 部 署 简单 、 并 发 性 好 等 特点 。 它 的 测试 框架 是 通过 testing 包 
和 go test 命 令 来 提供 测试 功能 的 ， 测 试 代码 包含 在 文件 名 以 “test.go” 关 键 字 结 尾 的 文件 中 。 如 果 需 要 获取 代码 测试 覆盖 率 ， 可 以 使 用 go test-cover 命 令 。 读 者 可 以 
在 http://golang.org/pkg/testing/ 中 获取 到 更 多 关于 Go 语言 测试 框架 的 信息 。 


13.2 ”Docker 技 术 在 测试 中 的 应 用 


在 传统 的 软件 开发 流程 中 ， 软 件 开发 团队 将 特性 开发 完成 后 ， 首 先 会 在 自己 本 地 的 环境 中 完成 单元 测试 ， 之 后 会 将 代码 提交 到 Git 仓 库 中 。 测 试 团队 则 会 将 代码 从 Git 仓 库 下 载 到 测试 机 上 ， 运 行 手动 测 
试 并 编写 自动 化 测试 脚本 ， 如 果 没 有 发 现 Bug， 则 发 布 软件 版 本 给 运 维 团队 。 然 后 ， 运 维 团队 再 将 软件 产品 部 署 在 运 维 服务 器 中 。 


这 个 过 程 的 痛 点 在 于 : 
“ 开发 、 测 试 、 运 维 环境 无 法 统一 。 需 要 3 个 团队 各 自 搭建 环境 ， 造 成 了 工作 内 容重 复 ， 并 且 无 法 保证 在 开发 环境 中 可 运行 的 软件 也 能 在 测试 环境 和 运 维 环境 中 正常 运行 。 
:开发 人 员 在 提交 代码 前 所 做 的 测试 并 不 一 定 充分 ， 特 别 是 在 项 目 紧张 的 时 候 这 个 问题 尤为 突出 ， 这 很 可 能 引入 新 的 Bug。 无 法 通过 一 种 有 效 的 机 制 确保 在 代码 提交 前 已 进行 了 充分 的 测试 。 


“ 当 环 境 复杂 时 ， 开 发 人 员 不 易 复 现 测试 人 员 提交 的 Bug， 往 往 会 出 现 开发 人 员 和 测试 人 员 互 相 推 请 的 现象 


然而 ， 当 Docker 被 引入 到 持续 集成 构建 系统 中 时 ， 一 切 发 生 了 革命 性 的 变化 。 由 于 Docker 快 速 部 署 和 通过 镜像 共享 工程 环境 的 功能 ， 使 得 开发 团队 、 测 试 团队 和 运 维 团队 能 够 复 用 工程 环境 ， 这 也 是 
开发 、 测 试 、 运 维 一 键 化 部 署 的 基础 。 在 开发 团队 完成 某 个 特性 (包含 特性 代码 和 该 特性 的 测试 用 例 ) 后 就 会 发 送 一 个 合 入 请 求 ，Git 仓 库 管理 工具 在 收 到 这 个 请 求 时 会 自动 触发 Jenkins 进 行 自动 化 测试 ， 
以 便 在 第 一 时 间 发 现 新 的 代码 是 否 会 引入 Bug。 若 测试 成 功 运行 ，maintainer 会 将 代码 合 入 到 Git 仓 库 中 ， 这 个 操作 又 会 触发 Jenkins 的 自动 构建 ， 将 该 软件 版 本 部 署 到 应 用 服务 器 中 。 


如 今 Docker 已 经 对 测试 技术 产生 了 深远 的 影响 ， 目 前 国内 已 有 很 多 公司 发 布 了 基于 Docker 容 器 技术 的 开发 、 测 试 、 运 维 一 站 式 解决 方案 。 同 时 与 Docker 相 关 的 编排 管理 工具 也 在 不 断 地 完善 中 ， 使 得 
Docker 在 测试 领域 得 到 了 广泛 的 应 用 。 


£3 
i 全 Jenkins 


Jenkins 是 一 个 开源 软件 项 目 (https://jenkins-ci.org/) ， 旨 在 提供 一 个 开放 易 用 的 软件 平台 ， 使 软件 的 持续 集成 变 成 可 能 。 它 是 基于 Java 开 发 的 一 种 持续 集成 工具 ， 可 以 方便 地 安装 很 多 第 三 方 插件 (其 中 
包括 多 种 Docker 插 件 ) 。 通 过 Jenkins 可 以 执行 和 监控 重复 的 工作 ， 功 能 包括 : 


“ 持续 的 软件 版 本 发 布 /测试 项 目 。 


"监控 外 部 调用 执行 的 工作 。 


当 应 用 场景 复杂 时 ， 往 往 会 有 多 个 Jenkins 任 务 需 要 协同 工作 ， 例 如 编译 、 病 毒 扫描 、rpm 包 制作 、 单 元 测试 、 集 成 测试 、UI 测 试 、 性 能 测试 等 。 而 各 模块 间 相互 又 有 一 定 的 依赖 度 ， 增 加 了 部 署 工作 的 
难度 。 还 好 Jenkins 拥 有 Build Pipeline 插 件 ，pipeline 的 中 文 含义 是 流水 线 ， 意 思 是 把 复杂 的 步骤 按照 流水 线 的 顺序 排 好 ， 做 完 一 个 再 做 下 一 个 。 它 可 以 将 各 任务 之 间 的 关系 变 为 可 视 化 的 图 表 ， 使 得 部 署 流 
程 清晰 可 见 。 


如 图 13-2 所 示 ， 在 这 个 Build Pipeline 中 首先 会 执行 编译 测试 ， 当 编译 测试 执行 完成 后 会 依次 执行 单元 测试 、 集 成 测试 和 系统 测试 。 在 该 界面 中 可 以 很 容易 地 跟踪 各 任务 的 状态 ， 绿 色 表示 任务 已 经 执行 
通过 ， 黄 色 代表 任务 正在 执行 ， 蓝 色 代表 任务 还 未 执行 (本 书 为 黑白 印刷 ， 在 实际 操作 中 可 根据 颜色 辨别 执行 状态 ) 。 


Build Pipeline 


ed Sp 


Pipeline #7 编译 测试 3 单元 测试 全 埠 测试 系统 测 式 
ep 143. 2015# 5 PY Sep 他- 2015 6:5% 


图 13-2 ”Build Pipeline 插 件 


在 引入 Docker 技 术 后 ， 可 以 利用 Docker 将 每 一 个 任务 模块 化 ， 并 通过 Dockerfile 制 作成 有 针对 性 的 镜像 来 运行 任务 。 在 管道 图 中 可 以 获取 每 一 个 任务 的 执行 时 间 、 执 行 结果 ， 为 产品 成 功 发 布 黄 定 基 


[ 


础 。 


之 后 则 需要 将 软件 部 署 到 生产 环境 中 。 合 理 地 利用 和 调度 Docker 是 一 个 难点 ， 可 以 考虑 搭建 一 个 可 定制 可 伸缩 的 分 布 式 环境 ， 而 这 个 环境 就 是 基于 Docker 的 测试 私有 云 。 也 可 以 考虑 引入 Mesos 或 
Kubernetes 等 编排 工具 ， 先 前 的 章节 中 已 经 介绍 过 这 两 个 工具 ， 这 里 不 再 赣 述 。 项 目 团队 可 以 针对 自己 的 实际 情况 ， 在 上 述 开源 软件 的 基础 上 添加 新 特性 ， 定 制 适 合 自身 项 目的 解决 方案 。 


13.3 “本章 小 结 


随 着 Docker 技 术 的 日 趋 成 熟 ， 相 信 在 Docker 社 区 中 会 有 更 多 的 开发 人 员 和 测试 人 员 投入 到 完善 测试 架构 和 贡献 测试 用 例 的 工作 中 。 现 在 ， 使 用 Docker 来 构建 自动 化 测试 流程 已 经 成 为 软件 测试 人 员 必 
备 的 技能 。 相 信 不 久 的 将 来 会 有 更 多 与 Docker 相 关 的 测试 工具 和 测试 控件 问世 。 


第 14 章 ”参与 Docker 开 发 


Docker 当 前 处 于 快速 成 长 期 ， 各 种 新 的 特性 不 断 加 入 ， 也 有 各 种 问题 不 断 出 现 ， 同 时 很 多 现 有 的 功能 也 有 待 完 善 ， 而 这 正好 给 全 世界 的 Docker 爱 好 者 、 使 用 者 、 开 发 者 提供 了 大 量 的 参与 Docker 开 发 
的 机 会 。 本 章 将 讨论 如 何 改进 Docker、 搭 建 Docker 开 发 环境 、 参 与 社区 交流 ， 最 后 将 介绍 Docker 的 项 目 组 织 架构 。 


14.1 改进 Docker 


14.1.1 ”报告 问题 


: 为 了 让 社区 快速 审查 和 和 解决 这 个 问题 ， 问 题 描 述 应 尽量 清楚 ， 最 好 能 包括 以 下 内 容 : 问题 描述 、docker 的 版 本 信息 (docker version 的 输出 内 容 ) 、docker 的 配置 信息 (docker-D info 的 输出 内 容 ) 、 主 
机 内 核 版 本 信息 (uname-a 的 输出 内 容 ) 、 主 机 环境 的 详细 信息 、 问 题 复 现 的 步骤 、 实 际 运 行 的 结果 、 期 望 运行 结果 和 一 些 附 加 信息 。 下 面 是 报告 问题 的 模板 ,报告 问题 时 最 好 能 按 这 个 模板 来 填写 。 


Description of problem: 

“Docker version `: 

“Docker -D info `: 

‘uname -a: 

Environment details (AWS, VirtualBox, physical, etc.): 
How reproducible: 

Steps to Reproduce: 

1 


和 

Actual Results: 
Expected Results : 
Additional info: 


如 果 你 没有 按 以 上 的 模板 报告 问题 ， 会 收 到 GordonTheTurtle 的 回复 ， 提 醒 你 添加 以 上 内 容 ， 这 是 机 器 人 的 自动 回复 。GordonTheTurtle 是 Docker 的 一 只 宠物 乌龟 ， 名 字 叫 Gordon， 是 Docker 公 司 的 
吉祥 物 ， 这 只 乌龟 在 Github 上 的 账号 就 是 GordonTheTurtle， 它 会 对 提交 到 Docker 的 Issue 和 PR 做 一 些 自动 检查 的 工作 。 


对 于 安全 相关 的 问题 ， 不 要 公开 报告 ， 而 应 将 你 的 问题 发 送 至 security@dockercom。 


14.2 ”编译 自己 的 Docker 


参与 Docker 开 发 就 离 不 开 Docker 的 编译 ， 在 问题 定位 的 过 程 中 ， 经 常 要 在 源码 中 添加 打印 ， 打 印 出 自己 想 要 的 信息 ; 或 者 自己 添加 了 新 的 特性 ， 需 要 进行 验证 ， 这 些 都 要 重新 编译 源码 生成 二 进 制 。 
下 面 介绍 的 是 Linux 下 x86 平 台 的 Docker 源 码 编译 。 


14.3 ”开源 的 沟通 和 交流 


14.3.1 “Docker 沟 通 和 交流 的 途径 


Docker 社 区 很 庞大 ， 沟 通 和 交流 的 途径 很 多 ， 包 括 邮件 列表 、IRC、Github 社 区 。 


“ 邮件 列表 : Docker 有 开发 者 邮件 列表 和 用 户 邮 件 列 表 ， 这 两 个 邮件 列表 都 在 Google group 上 ， 登 录 https://groupbs.google.com 直 接 搜 索 dockerdev 和 dockeruset， 加 入 到 这 个 群 组 里 面 就 可 以 参与 沟通 交 


' IRC: 在 Freenode IRC 网 络 上 有 两 个 Docket 的 频道 ，#docker 和 ##docker-dev，#docker 频 道 是 讨论 用 户 的 一 些 求助 的 问题 ，#docker-dev 用 来 讨论 开发 工作 。 


“ Github: Docker 本 身 的 代码 库 和 相关 的 代码 库 ( 如 machine、swarm、compose 等 ) 都 托管 在 Github 上 ， 这 里 是 一 个 非常 活跃 的 社区 ， 每 天 都 有 大 量 的 Issue 和 PR 在 这 里 讨论 ， 点 击 Docker 仓 库 主页 上 方 的 
Watch 进行 关注 ， 有 关 Docket 的 讨论 将 自动 发 送 到 你 的 邮箱 里 。 


14.4 ”Docker 项 目的 组 织 架 构 


开源 项 目的 成 功 


来 参与 社区 ， 诉 求 的 差异 必然 会 引起 冲突 和 分 层 ， 这 也 意味 着 会 给 开源 项 目 带 来 风 


也 取决 于 开源 项 目的 管理 ， 


因为 参与 开源 项 目的 是 来 


自 世 界 各 


也 的 开发 人 员 ， 这 些 开发 人 员 有 的 来 自 公司 ， 有 的 来 自 研究 机 构 ， 有 自由 职业 者 ， 也 有 学 生 等 ， 不 同 的 人 抱 着 不 同 的 诉求 


也 决定 着 开源 项 目 是 否 成 功 。 要 管理 好 一 个 开源 项 


Wo 


给 。 因 此 怎样 将 这 样 一 个 庞大 的 、 诉 求 各 异 的 开发 者 有 效 地 组 织 起 来 


目 ， 有 两 个 重要 的 方面 : 法 律 框架 和 管理 模型 。 法 律 框架 就 是 开源 许可 证 ， 许 可 证 阐明 了 不 同 参与 者 的 权利 和 义务 ; 而 管理 模型 是 由 一 些 规则 流程 和 文化 组 成 。 常 见 的 Apache 开 源 项 目 是 由 软件 基金 会 和 项 


目 分 开 运 作 的 ， 他 们 会 通过 统一 共识 来 做 出 决策 ， 软 件 基金 董 
情 做 最 终 决策 ， 而 之 所 以 称 为 “仁慈 的 ”， 是 | 


对 一 切 事 


14.5 本章/ 


本 章 介绍 了 如 何 改进 Docker， 怎 样 搭建 Docker 
参与 ， 相 信 越 来 越 多 的 人 会 参与 到 Docker 这 个 开源 项 


1) Doc| 


章 


会 有 最 终 的 决策 权 。 
因为 他 的 决策 是 基于 整个 社区 意见 的 。 


源 项 目 有 一 个 个 人 领导 者 ， 他 的 角色 被 称 为 “仁慈 的 独裁 者 ”， 这 意味 着 他 可 以 


Docker 开 源 项 


与 此 不 同 ，Docker 


发 环境 ， 怎 样 参与 社区 交流 和 Docker 的 组 织 架构 ， 相 信 读 者 了 解 这 些 之 后 会 知道 怎样 去 参与 Docker 这 个 开源 项 目 。 开 源 项 目的 成 功 离 不 开 大 家 的 共同 


的 成 功 贡献 


， 为 项 


己 的 力量 。 


er 是 否 免费 ? 


Docker 项 


在 Github 上 开源 ， 且 完全 免费 。 


er 使 


2) Doc 


Docker 使 


3) Dodl 


什么 开源 license? 


Docker client 


Mac OS X 和 Windows 


户 可 以 使 有 


4) Docker 


前 支持 哪些 平台 ? 


Docker 目 前 


支持 的 Linux 系 统 包括 : 


er 能 否 运行 在 Mac OS X 或 Windows 系 统 上 ? 


附录 A FAQ 


Apache License V2.0， 更 详细 的 信息 可 以 参考 : https://github.com/docker/docker/blob/master/LICENSE 


前 支持 Linux 和 Windows， 但 是 Docker engine 运 行 需要 使 


Linux 内 核 特 有 的 特性 ， 所 以 目前 只 能 运行 在 Linux 系 统 上 。 


VirtualBox 启 动 Linux 虚 拟 机 来 运行 Docker。 


: https://docs.docker.com/installation/。 


"Ubuntu 12.04、Ubuntu 13.10、Ubuntu 14.04、Ubuntu 15.04 


* Debian 8.0 Jessie/Debian 7.7 Wheezy (64-bit) 


* Fedora 20+ 


* FrugalWare 


* RHEL7 


* Centos 7.X 


* Gentoo 


* Oracle Linux 6/7 


* ArchLinux 


* OpenSUSE 12. 


3+/SLES 12+ 


" CRUX 3.0+ 
Docker 目 前 支持 的 云 平台 包括 : 
Amazon EC2 


* Joyent Public Cloud 


* Google Cloud Platform 


* IBM SoftLayer 


* Microsoft Azur 


e Platform 


* Rackspace Cloud 


5) 容器 退出 时 会 丢失 数据 吗 ? 


体 可 参考 官方 安装 指南 ， 其 中 详细 描述 了 Mac OS X 和 Windows 的 Docker 安 装 步 


不 会 。 应 


程序 写 入 磁盘 的 数据 在 


6) 容器 技术 的 扩展 性 怎么 样 ? 


目前 世界 上 的 很 多 大 型 服务 器 集群 都 是 基于 容器 技术 进行 部 署 的 。Google 公 司 很 早 就 
和 Spanner、 批 处 理 框架 MapReduce 和 Mil 


服务 。 


户 显 式 地 执行 容器 删除 操作 之 前 都 不 会 丢失 (即使 容器 在 运行 过 程 中 一 


始 使 用 容器 技术 ， 现 今 几 3 


7) 怎样 在 Docker 容 器 之 间 建 立 连接 ? 


推荐 使 


也 可 以 使 


wheel 等 。Twitter 公 司 也 使 


容器 技术 来 部 署 所 有 的 应 


础 设施 。 各 大 互联 网 公司 正 是 由 了 


Docker 提 供 的 link 参 数 在 Docker 容 器 之 间 建 立 连接 ， 


ambassador 的 方式 间接 地 在 容器 之 间 建 立 连接 ， 这 样 可 以 使 服务 的 迁移 和 扩 | 


体 方式 可 以 参考 Docker 命 令 中 关于 


Flink 参 数 的 介绍 。 


https://docs.docker.com/articles/ambassador_pattern linking/。 


8) 怎样 在 Docker 容 器 中 运行 多 个 进程 ? 


可 以 使 


续 执 行 。 


9) 使 


Docker 时 发 现 的 安全 问题 要 怎样 上 报 ? 


可 以 通过 如 下 链接 了 解 Docker 的 安全 策略 : 


https://www.docker.com/docker-security。 


发 现 的 安全 问题 可 以 通过 该 邮件 列表 


10) 为 什么 对 Docker 社 区 的 代码 提交 需 


DCO (Developer s Certificate of Origin) 


使 


DCO 签 名 ? 


是 Docker 从 Linux 内 核 开发 社 


进程 管理 工具 如 supervisord、runit、s6 或 daemontools 来 启动 多 个 进程 。Docker 会 启动 后 台 的 进程 管理 工 . 


贵 : security@docker.com。 


发 者 ， 而 非 Docker 公 司 。 代 码 贡献 者 则 应 该 要 保证 代码 是 完全 独立 开发 的 ， 或 者 是 基于 符合 对 应 开源 协 
提交 后 就 会 作为 开源 软件 完全 公开 。 


11) 


几乎 所 有 的 程序 都 会 依赖 第 三 方 库 ， 多 数 情况 下 程序 会 使 


构建 镜像 时 ， 应 该 使 


才能 够 保证 程序 的 正常 执行 。 


使 


的 上 游 开发 者 可 能 无 法 做 到 这 一 点 。 因 此 


系统 动态 链接 库 的 关键 原 


系统 库 还 是 将 依赖 文件 打包 ? 


动态 链接 库 ， 多 个 程序 使 


并 不 在 于 节省 磁盘 或 内 存 空间 ， 而 是 在 于 保证 系统 安全 性 。 所 有 的 Linux 发 行 版 都 十 分 看 了 


， 在 选择 使 


点 , 使 
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这 个 库 文件 制作 的 镜像 就 会 存在 安全 风险 。 


为 什么 Dockerfile 中 不 建议 使 


在 Debian 和 Ubuntu 的 基础 上 构建 镜像 时 可 能 会 遇 到 以 下 错误 : 


unable to initialize frontend: Dialog 


该 错误 告知 


在 Dockerfi 


DEBIAN_FRONTEND=noninteractive 参 数 ? 


ENV DEBIAN FRONTEND=noninteractive 


DEBIAN_FORNTEND 设 置 为 noninteractive 后 ， 安 装 程序 便 不 会 试图 打 : 


使 用 这 些 容器 进行 交互 式 的 软件 安装 时 会 


13) Docker 私 有 库 


e 中 修改 DEBIAN_FRONTEND 环 境 变量 可 以 避免 这 一 错误 提示 : 


因 无 法 打开 对 话 框 而 出 错 。 


等 名 SSL 报 错 应 该 怎样 处 理 ? 


有 两 种 方案 可 以 解决 自 签名 SSL 报 错 


的 问题 : 


所 有 的 Google 服 务 都 运行 在 容器 中 ， 包 括 其 


容器 技术 的 轻 量 级 和 可 扩 


展 更 加 灵活 。 使 用 ambassador 的 方式 可 参考 如 下 链接 : 


， 并 创建 一 个 额外 进程 ， 只 要 容器 中 的 进程 管理 工 


区 借鉴 的 一 种 版 权 认 证 方式 。 代 码 贡献 者 只 需要 在 所 提交 的 代码 开头 增加 一 行 DCO 签 名 ， 就 可 以 表明 代码 的 版 权 所 有 属 


议 的 代码 进行 开发 的 ， 并 且 确 认 


将 库 文件 打包 的 方式 制作 Docker 镜 像 之 前 ， 首 先 应 该 确认 包 的 制作 者 能 否 提供 安全 保证 ， 若 暴露 出 安全 


看 启 系统 ， 数 据 也 不 会 丢失 ) ， 容 器 中 的 文件 系统 在 容器 停止 后 仍然 会 被 基础 系统 保存 。 


网 络 前 端 服务 、 基 础 信息 系统 Bigtable 
展 性 ， 才 选择 使 


容器 技术 来 承载 其 大 型 


还 在 运行 ， 该 进程 就 可 以 继 


己 有 权限 将 对 应 代码 提交 到 社区 ; 另外 贡献 者 也 应 该 意识 到 ， 代 码 


同一 个 库 时 ， 该 库 只 需要 被 安装 一 次 。 而 有 些 程序 可 能 会 依赖 特定 版 本 的 库 文件 ， 需 要 将 依赖 的 所 有 库 文件 打包 


安全 性 ， 并 有 专门 的 安全 团队 跟踪 暴露 出 的 系统 漏洞 并 寻找 解决 方案 ， 而 普通 
局 洞 能 否 及 时 解决 并 更 新 。 如 果 无 法 确认 这 一 


户 安装 的 进程 无 法 打开 对 话 框 ， 但 是 并 不 会 阻塞 镜像 的 构建 过 程 ， 可 以 忽略 且 不 影响 镜像 的 制作 。 


因此 ， 构 建 镜像 时 尽量 不 要 指定 该 环境 变量 


“ 在 Docker daemon 启 动 时 添加 “--insecure-registry$REGISTRY_URL” 参 数 ， 将 私有 库 添 加 到 insecure 列 表 中 。 


“ 将 签发 私有 仓库 域名 SSL 证 书 所 使 用 的 CA 证 书 放 到 指定 位 置 : 


/etc/docker/certs.d/$REGISTRY URL/ca.crt 


14) Docker daemon 重 启 后 容 


遇 到 “device or resource busy” 问 题 可 通过 手动 卸载 错误 提示 中 的 挂 载 目录 来 解决 ， 如 : 


#umount /var/lib/docker/devicemapper/mnt/$CONTAINER ID 


该 错误 出 现 的 原 


15) Attach 到 容器 后 如 何 退 出 ? 


Attach 到 容器 后 可 以 使 


在 于 重启 Docker 时 没有 停止 运行 中 的 容器 ， 在 重 


CTRL-P+CRTL-Q 按 键 来 退出 容器 ， 并 


无 法 启动 ， 错 误 为 “device or resource busy”， 应 该 怎么 解决 ? 


对 话 框 ， 上 述 错误 提示 就 不 会 出 现 。 但 这 样 做 也 有 风险 : 任何 以 该 镜像 为 基础 镜像 制作 的 容器 和 镜像 都 会 继承 该 环境 变量 ， 而 


。 如 果 情况 特殊 必须 指定 ， 最 好 在 镜像 制作 完成 前 将 该 环境 变量 还 原 。 


影响 容器 中 主 进程 的 运行 。 如 果 使 


启 Docker daemon 前 显 式 地 停止 所 有 容器 可 有 效 避 免 这 一 问题 。 


CTRL-C 会 发 送 SIGKILL 信 号; 


给 容器 主 进 程 ， 


可 能 会 导致 容器 进程 终止。 


16) 怎样 修改 Docker 镜 像 或 容器 文件 的 存储 路 径 ? 
可 以 通过 以 下 两 种 方式 修改 镜像 或 者 容器 文件 的 存储 路 径 : 
: Docker daemon 提 供 了 “-g/--graph” 参 数 来 设置 Docket 运 行 的 根 目 录 ， 默 认 目 录 为 “/varlib/docker”。 


' 使 用 mount 命 令 将 目标 目录 挂 载 到 “/var/lib/docker”， 或 者 使 用 软 链接 将 “/var/lib/docker” 链 接 到 目标 目录 。 


附录 B 常用 Dockerfile 


Docker 公 司 在 Github 上 维护 了 一 个 Dockerfile 项 目 (https://github.com/dockerfile) ， 该 项 目 为 一 些 常见 开源 软件 服务 提供 Dockerfile 和 自动 构建 方案 。 开 发 者 可 以 根据 该 工程 中 的 各 服务 介绍 和 
Dockerfile 来 快速 开发 、 测 试 和 部 署 新 的 应 用 程序 。 


在 Dockerfile 项 目 中 ， 每 一 个 仓库 都 是 安全 可 信赖 的 自动 构建 工程 ， 工 程 对 应 的 地 址 为 https://github.com/dockerfile/$REPO_NAME， 其 中 $REPO_NAME 为 下 面 介绍 的 各 个 工程 的 名 字 。 可 以 使 用 
工程 中 提供 的 Dockerfile 并 参考 README.md 文 件 进行 相应 服务 镜像 的 构建 。Dockerfile 项 目 中 包括 以 下 工程 : 


* ubuntu。 该 工程 用 于 制作 Ubuntu 镜像 ， 镜 像 基于 Ubuntu 14.04 发 行 版 制作 ， 并 安装 了 一 些 常用 的 工具 。 

: ubuntu-desktop。 该 工程 用 于 制作 Ubuntu 桌面 版 的 镜像 ， 镜 像 启动 后 能 够 通过 VNC 访 问 系统 界面 。 

:go。 该 工程 用 于 制作 提供 完整 的 Go 语言 开发 环境 的 镜像 。 

“ gp-runtime。 该 工程 用 于 制作 提供 Go 语言 运行 时 环境 的 镜像 ， 可 以 作为 其 他 标准 Go 语言 应 用 的 基础 镜像 。 

“java。 该 工程 用 于 制作 提供 Java 开 发 环境 的 镜像 。 

“ nodejs。 该 工程 用 于 制作 提供 Node.js 开 发 环境 的 镜像 。 

“ nodejs-runtime。 该 工程 用 于 制作 提供 Node.js 运 行 时 环境 的 镜像 ， 可 以 作为 其 他 标准 Node.js 应 用 的 基础 镜像 。 

:nodejs-bowetrgulp。Bower 是 Web 客 户 端 编程 的 包 管理 系统 ; Gulp 是 一 种 自动 化 构建 工具 。 二 者 都 是 基于 Node.js 进 行 开发 的 。 该 工程 用 于 制作 提供 bower 和 gulp 组 件 的 镜像 。 
“ nodejs-bower-gulp-runtime。 该 工程 用 于 制作 提供 Node.js gulp 和 运行 时 环境 的 镜像 ， 可 以 作为 其 他 Node.js gulp 应 用 的 基础 镜像 。 

“ nodejs-bower-grunt。Grunt 是 一 种 基于 Node.js 的 自动 化 构建 工具 ， 支 持 插件 并 拥有 非常 庞大 的 生态 系统 。 该 工程 用 于 制作 提供 Node.js grunt 组 件 的 镜像 。 
“ nodejs-bower-grunt-runtime。 该 工程 用 于 制作 提供 nodejs grunt 运 行 时 环境 的 镜像 ， 可 以 作为 其 他 Node.js grunt 应 用 的 基础 镜像 。 


. python。 该 工程 用 于 制作 提供 Python 开发 环境 的 镜像 。 


:python-runtime。 该 工程 用 于 制作 提供 Python 运行 时 环境 的 镜像 ， 可 以 作为 其 他 标准 Python 应 用 的 基础 镜像 。 

:celery。Celery 是 一 种 基于 分 布 式 消息 传递 的 异步 任务 队列 ， 使 用 Python 语言 开发 。 该 工程 用 于 制作 提供 Celery 组 件 镜像 。 

:ansible。Ansible 是 一 款 能 够 配置 和 管理 多 台 机 器 的 软件 平台 ， 支 持 多 节点 软件 部 署 、 临 时 任务 执行 和 配置 管理 ，Ansible 基 于 Python 语言 开发 。 该 工程 用 于 制作 提供 Ansible 组 件 的 镜像 。 
“ ruby。 该 工程 用 于 制作 提供 完整 Ruby 语 言 开发 环境 的 镜像 。 

“ ruby-runtime。 该 工程 用 于 制作 提供 Ruby 运 行 时 环境 的 镜像 ， 可 以 作为 其 他 标准 Ruby 应 用 的 基础 镜像 。 

: fpm。FPM 是 一 款 包 管理 和 转换 工具 ， 可 以 将 目录 、tpm 包 、python eggs、trubygem 转 化 为 tpm、deb 等 类 型 包 。 该 工程 用 于 制作 提供 FPM 组 件 的 镜像 。 

“ dart。Dart 是 Google 开 发 的 一 种 Web 编 程 语言 。 该 工程 用 于 制作 提供 完整 dart 开 发 环境 的 镜像 。 

“dart-runtime。 该 工程 用 于 制作 提供 dart 语 言 运行 时 环境 的 镜像 ， 可 以 作为 其 他 dart 应 用 的 基础 镜像 。 

“julia。Julia 是 一 种 用 于 技术 计算 的 高 性 能 高 级 编程 语言 。 该 工程 用 于 制作 提供 julia 开 发 环境 的 镜像 。 

“nginx。Nginx 是 一 款 轻 量 级 Web 服 务 器 和 代理 服务 器 ， 也 可 以 作为 电子 邮件 代理 服务 器 。 该 工程 用 于 制作 提供 Nginx 服 务 的 镜像 。 
“elasticsearch。Elasticsearch 是 一 款 基 于 Lucene 的 搜索 服务 ， 可 以 提供 分 布 式 、 多 租户 的 全 文本 搜索 引擎 。 该 工程 用 于 制作 提供 Elasticsearch 服 务 的 镜像 。 

“ rabbitmq。RabbitrMQ 是 一 种 基于 AMQP 协 议 的 企业 级 消息 传递 系统 ， 使 用 Erlang 语 言 开发 。 该 工程 用 于 制作 提供 RabbitMQ 服 务 的 镜像 。 

“ haproxy。HAProxy 是 一 款 高 可 用 的 负载 均衡 和 代理 服务 ,能够 将 TCP 和 HTTP 应 用 程序 转发 到 多 个 服务 器 后 端 。 该 工程 用 于 制作 提供 HAProxy 服 务 的 镜像 。 

“ nsq。NSQ 是 一 款 分 布 式 的 实时 消息 传递 平台 。 该 工程 用 于 制作 提供 NSQ 组 件 的 镜像 ， 可 以 通过 执行 相应 命令 来 启动 nsqd 节 点 或 nsqlookupd 服 务 发 现 。 

“ ghost。Ghost 是 一 款 使 用 JavaScript 开 发 的 开源 博客 平台 。 该 工程 用 于 制作 提供 Ghost 服 务 的 镜像 。 

' chrome。 该 工程 用 于 制作 提供 Google Chrome 浏 览 器 功能 的 镜像 ， 容 器 启动 后 可 以 通过 VNC 连 接 到 指定 地 址 使 用 Chrome 浏 览 器 。 

“ supervisor。Supervisior 是 一 种 基于 C/S 模 型 的 进程 控制 系统 ， 可 以 用 于 查看 和 控制 类 UNIX 操 作 系 统 中 的 多 个 进程 。 该 工程 用 于 制作 提供 supervisord 服 务 的 镜像 。 
“ mysql。MySQL 是 一 种 开源 的 关系 型 数据 库 管理 系统 。 该 工程 用 于 制作 提供 MySQL 数 据 库 服务 的 镜像 。 

“ mariadb。MariaDB 是 由 开源 社区 维护 的 MySQL 数 据 库 分 支 ， 与 MySQL 的 API 和 命令 完全 匹配 。 该 工程 用 于 制作 提供 MariaDB 数 据 库 的 镜像 。 


“ percona。 该 工程 用 于 制作 提供 percona-server 功 能 的 镜像 。percona-server 是 由 Percona 公 司 维护 的 MySQL 数 据 库 的 分 支 ， 与 官方 的 MySQL 保 持 兼容 。 


: mongodb。MongoDB 是 一 种 跨 平台 的 面向 文档 数据 库 ， 属 于 NoSQL 型 数据 库 。 该 工程 用 于 制作 提供 MongoDB 数 据 库 的 镜像 。 
rethinkdb。RethinkDB 是 一 种 开源 的 面向 文档 数据 库 ， 支 持 分 布 式 ， 属 于 NoSQL 型 数据 库 。 该 工程 用 于 制作 提供 RethinkDB 数 据 库 的 镜像 。 


“ tedis。Redis 是 一 种 开源 的 键 值 数据 库 系统 ， 该 工程 用 于 制作 提供 Redis 服 务 的 镜像 。 


附录 C Docker 信 息 获 取 渠 道 


用 户 可 以 通过 如 下 渠道 获取 Docker 相 关 信 息 : 

“ Docker Github 源 代码 地 址 
https://github.com/docker/docker 

“ Docker 用 户 使 用 指导 
http://docs.master.dockerproject.org/userguide/ 
* Docker 用 户 邮件 列表 
https://groups.google.com/d/forum/docker-user 
“ Docker 开 发 者 邮件 列表 
https://groups.google.com/d/forum/docker-dev 
` Docker 用 户 IRC 

irc: //webchat.freenode.net#docker 

* Docker 开 发 者 IRC 

irc: //webchat.freenode.net#docker-dev 
Stackoverflow 中 Dockert 的 问题 反馈 
http://stackoverflow.com/search?q=docker 

* Docker twitter 账 户 

http://twitter.com/docker 

* Google group-Docker 用 户 
https://groups.google.com/forum/#! forum/docker-user 
“ Google group - Docker 开 发 者 


https://groups.google.com/forum/#! forum/docker-dev 


